经常挂在嘴边的“渗透测试”，到底怎么测？

恭喜发财dife

提起渗透性测试(模拟黑客进行“合法”的网络入侵测试)，人们自然会想到黑客，好象做这种测试的只有真正
的黑客才可以做到，但黑客通常是“虚拟网络”中的人物，与现实生活中的人很难对应，对于他们的行为感
到神秘也是自然的。测试与攻击有什么不同呢？刚从事安全研究时会很困惑，攻击是不按常理出牌的思维，
遵循套路的只能是表演，不会实用，那么安全公司的专家们是如何进行渗透性测试呢？

一般来说，这种测试的过程都是半隐蔽的，不同的安全公司、不同的人做这种测试的结果差异巨大。

我们最终看到的多是一些结果报告，多数的报告是“模板”式的，开头是一大堆发现的漏洞，结果里总说这有
问题，那有问题。

这种报告里，渗透的“实际成果”很少，有些“吓唬”用户的意思，漏洞是否可被利用，究竟能产生多大的危害，
才是用户真正想要的。

首先我们先看一下一般企业的网络结构图


一般攻击来自互联网，主要是企业的互联网门户、互联网出口、企业VPN访问网关等，都是攻击的首要位置，
但实际上入侵通过企业办公区域网络接入、办公区域WLAN接入、员工移动电脑木马等内部方式更为方便、直
接。

大多数的安全公司采用了“黑盒表面”测试，表面测试不用细致分析企业内部业务流程上的安全漏洞，只在网络
“表面”做攻击。

最初的渗透性测试不是这样，应该说是一些黑客“从良”后的善意工作，渗透就是入侵的真实模拟。渗透性测试
是模拟黑客入侵的思维，而不是形式。因为任何安全体系的建设都是基于一种信任的，网络的存在是要为人提
供服务的，不可能对所有人都封闭。

所以黑客会利用正常用户业务处理的正常逻辑、方法，用户需要这样去完成他的工作，就需要IT部门这样支持
业务访问通道，黑客模拟成企业员工，通过同样的通道，就不容易被发现。

这样我们再看一下一般企业的网络结构图


这样，我们再看企业网络结构图，渗透性测试的目标就明确了，要找到进入目标资源的通道，而不仅仅是找到
进入网络的通道。

更为重要的是：测试还需要有非常好的自我隐蔽技术，不能很快被发现(安全监视系统与审计系统能在你获取机
密资源前发现你)，因为进入网络后，获取目标资源还需要很多时间，这也正式渗透性测试与风险评估的差别。

风险评估常常是评价防护体系，而渗透性测试常常是与监控体系较量，入侵进去是一种技术，进去后不被发现
地干好自己的事情是另一种技术---隐藏技术。

经验

我们总结了一些衡量渗透性测试结果的信息，通常以获得下面信息为标志：

企业员工信息表：姓名、身份证、电话、邮箱、住址、简历、薪水…

高级管理人员的财务支出明细

入侵CEO的电脑(密码与信息)

商业秘密的邮件与企业合约

领导的电话语音(有电话信箱的)

企业核心机密资料(如软件公司的源代码库)

安装后门，保证进入通道

各种服务器账户与密码列表

高级管理人员的账户与密码列表

当然，安全漏洞都是有时限的，打上了补丁，可能“通道”就关闭了，所以渗透性测试的结果也有时限意义。

渗透性测试的结果通常不是要用户增加多少安全设备与投资，而是要用户提高安全措施的利用程度，加强安
全管理，如制度落实、安全事件有人管、监控报警有人跟、审计记录有人看。

没有“神话”渗透性测试过程，但它的确需要改变安全公司常用的安全防护思路，用黑客的入侵式的思维去想
问题，才能有理想的效果。

libingyu135

666666

梦想家

梦想家

梦想家

梦想家

梦想家

Miss_love

梦想家