滲透測試與PCI DSS的關系

PCI（Payment Card Industry）中文全稱為：支付卡產業。在這個產業里存在一個標準組織，稱為--支付卡行業安全標準委員會，英文簡寫為PCI SSC（Payment Card Industry Security Standards Council）。PCI安全標準委員會是由國際知名的五家支付品牌共同建立而成，他們是美國運通（American Express）、美國發現金融服務公司（Discover Financial Services）、JCB、全球萬事達卡組織（MasterCard）及Visa國際組織。PCI SSC一共維護了三個安全標準：PCI DSS（Payment Card Industry Data Security Standard 支付卡行業數據安全標準）、PCI PA-DSS（Payment Card Industry Payments Application Data Security Standard支付卡行業支付應用數據安全標準）以及PTS（PIN Transaction Security PIN傳輸安全標準）。從下圖可以很清楚的反應這三個標準之間的關系。

無論是PTS還是PCI PA DSS，其最根本的目的是為了使最終的客戶能夠滿足PCI DSS的要求。（關于PTS和PA DSS更多的介紹可參見PCI官方網站www.pcisecuritystandards.org和atsec官方網站www.atsec-information-security.cn）。

在PCI DSS第 11.3中有這樣的要求“ Perform external and internal penetration testing at least once a year and after any significant infrastructure or application upgrade or modification (such as an operating system upgrade, a sub-network added to the environment, or a web server added to the environment). These penetration tests must include the following： Network-layer penetration tests and Application-layer penetration tests”其轉譯中文意思是：至少每年或者在基礎架構或應用程序有任何重大升級或修改后（例如操作系統升級、環境中添加子網絡或環境中添加網絡服務器）都需要執行內部和外部基于應用層和網絡層的滲透測試。

什么是滲透測試

滲透測試是通過模擬來自惡意的黑客或者駭客攻擊，以評估計算機系統或者網絡環境安全性的活動。從滲透測試的定義我們能夠清楚的了解到滲透測試它是一項模擬的活動，主要的目的是進行安全性的評估，而不是摧毀或者破壞目標系統。

從下圖我們可以看到，滲透測試與網絡掃描，脆弱性掃描，安全掃描和安全審計其實并不相同。滲透測試是介于安全掃描和安全審計之間，它并不是純粹的掃描工作，但是它執行的深度又沒有安全審計那么深入。滲透測試是從攻擊者的角度，試圖通過各種技術手段或者社交手段去發現和挖掘系統的漏洞，最終達到獲取系統最高權限的目的。無論是從測試的覆蓋面和測試的深度來看，滲透測試都要比網絡掃描，脆弱性掃描和安全掃描更為深入。

滲透測試的目的

對于滲透測試而言，除了滿足某些特定標準（如PCI DSS）的要求之外，滲透測試還會有如下的好處：

識別和發現機構可能被攻擊的薄弱環節

通過外部獨立的第三方評估機構的安全評估提高客戶自身的安全級別和降低安全風險

提高人員對于信息安全的意識

滲透測試的方法論和業界參考實踐

對于任何測試而言，都會相應的測試方法或者規則。在滲透測試領域，業界的滲透測試方法論或者最佳實踐可以作為一個很好的參考，但是測試人員在測試過程當中更多的是依靠自身的能力和經驗去完成測試工作，因為在測試過程當中可能會遇到各種各樣的問題。下面是行業中被廣泛接受的測試方法或者滲透測試的最佳實踐：

OWASP（Open Web Application Security Project）Testing Guide——關注在web應用安全測試的測試指導。該測試指導涵蓋了web應用程序大部分功能點的安全性測試，測試指導同時會給出一些測試的實例進行簡單的說明。

OSSTMM（Open Source Security Testing Methodology Manual） -- 開放源代碼安全測試方法手冊。OSSTMM是一個關注在安全測試和評價的方法論。OSSTMM的測試用例分為五個方面：信息和數據控制；人員安全意識水平；欺詐和社會工程學控制水平；計算機和電信網絡，無線設備，移動設備以及物理安全訪問控制；安全流程，如建筑物，周邊環境，以及軍事基地的物理位置等安全流程。

Special Publication 800-115 Technical Guide to Information Security Testing and Assessment – 美國NIST發布的針對信息安全測試和評估的技術指導

ISSAF（Information Systems Security Assessment Framework）-- 關注在信息系統安全評估的框架

Penetration Testing Framework -- 滲透測試的框架，該測試框架是滲透測試實踐的操作總結，它非常詳細的描述了滲透測試過程當中每一步應該做什么，怎么去做。該份測試的框架對于滲透測試的實際操作有著非常好的參考價值。#p#

滲透測試的流程

對于滲透測試，其流程大體包括：測試協議和方法確定，免責條款簽署，信息收集，脆弱性分析，對脆弱性進行滲透和利用，權限提升，最終評估和報告編寫以及客戶根據滲透測試發現問題的整改和追蹤等環節。以下是對于上述各個環節的簡要介紹：

滲透測試與惡意黑客的攻擊最大的區別就是：惡意黑客為了獲得想要的信息可以不計后果對目標系統進行攻擊測試，而滲透測試人員的所執行的測試活動是需要在特定的測試協議下執行的。因此在正式執行滲透測試之前，明確測試協議與測試方法是最重要的工作，測試協議與測試方法是后續測試人員開展滲透測試的參照標準。對于滲透測試協議和方法的確定，下述圖示展示了atsec結合了前文所提及的方法論和業界參考實踐的經驗總結。

在滲透測試中，根據客戶提供信息的多少，我們可以人為的將滲透測試分為黑盒測試和白盒測試。所謂的黑盒測試是客戶盡可能少的給測試人員提供測試目標的信息，測試人員在不了解目標系統的情況下展開測試。白盒測試是測試人員在完全了解系統的設計和架構或者網絡配置的情況下對目標進行滲透，以確保所有安全問題都被發現了。

從測試人員測試活動的攻擊性的角度評價，可以將滲透測試劃分成四種情況：

被動的測試活動，在此種情況下測試人員不會主動向目標系統發送攻擊指令，測試人員通常會執行信息捕獲的工作。

謹慎的測試活動，在此種情況下測試人員通常會對目標系統執行嗅探工作并根據嗅探獲得的漏洞進行分析和評估。

審議的測試活動，在此種情況下測試人員通常會將發現的漏洞信息與客戶進行討論，以明確哪些漏洞在測試過程當中需要執行實際的漏洞驗證和利用。

具有侵略性的測試活動，在此種情況下測試人員通常會根據所發現的漏洞信息進行逐個驗證，此時測試人員考慮更多的是如何最大限度獲得目標系統的系統權限或者獲得目標系統上存儲的信息。

從測試范圍的選擇，客戶可以指定整體網絡環境的系統組件，或者是部分的網絡環境的系統組件，又或者是對于特定的目標系統進行測試。

對于測試人員在測試過程當中的活動，客戶可以要求測試人員隱秘的執行滲透測試活動，又或者明確測試人員并不需要隱藏測試活動可以公開執行滲透測試工作。

在滲透測試活動中，客戶可以要求測試人員對如下方面執行滲透測試工作：對互聯網絡執行滲透（如互聯網上的web服務器，數據庫服務器，網絡設備等等）；對通訊執行滲透測試（如PSTN網絡，電信網絡，3G網絡等方面）；對物理安全執行滲透測試（如目標系統的物理防護，電磁輻射等方面）；執行社會工程學測試（主要是為了測試員工的安全意識）。

在測試方法設定的時候，客戶還可以要求測試人員以外網或者內網作為滲透測試活動的出發點。

在確定測試協議和方法之后，測試人員通常會要求客戶出具一份滲透測試的免責聲明，該聲明中會明確聲明測試人員不需要為測試過程中產生的任何風險承擔法律責任。這份免責聲明，對于滲透測試人員而言是很好的法律保護，因為任何的測試活動都不可能百分之百安全，在某些測試過程（如對漏洞進行滲透和利用）當中難免會存在一些安全風險，如果沒有此份聲明測試人員迫于法律的限制不可能完成后續的測試工作。

當完成上述兩個準備階段的工作之后，測試人員通常會進入非常重要和關鍵的一個環節----信息收集。在信息收集過程當中包括但不限于以下信息：IP地址信息，關聯域名信息，域名聯系人信息，DNS服務器信息，郵件服務器信息，IP地址段路由信息，和目標系統相關的人員信息收集，目標系統漏洞信息，或者通過社會工程學從相關人員口中套取有用的信息等等。信息收集是一門比較高深的學科，如果信息收集得很好，很多時候都不需要使用技術手段對系統漏洞進行滲透利用都能獲得系統的權限。#p#

對于滲透測試而言，雖然它是一項通過模擬黑客或者駭客的攻擊以評估系統或者網絡環境安全性的活動，但是滲透測試比真實生活當中的攻擊行為有著更多的限制。滲透測試并不以摧毀或者破壞系統的可用性為目的。在滲透測試過程當中，我們需要最大限度的保證客戶業務的正常運轉（當然客戶的特殊要求除外），在這個前提下 盡最大可能發現和挖掘目標系統的脆弱性并進行利用。因此，在進行真正滲透之前，我們通常需要對發現的脆弱性進行分析，分析和評估該脆弱性可能會對目標系統造成的影響，并制定相應的應急預案。對于脆弱性的分析通常會借助外部的脆弱性掃描工具如Nessus，QualysGuard ，WebInspect或者是Nikto2等等進行脆弱性的發現和識別，測試人員會根據所發現脆弱性的類型，CVE（Common Vulnerabilities and Exposures）依據CVSS（Common Vulnerability Scoring System）對于脆弱性的評分，客戶被測目標系統所處的實際環境等因素進行綜合考慮以進一步對脆弱性進行分析。在PCI DSS第11.2中要求客戶需要每個季度或者在基礎架構或應用程序有任何重大升級或修改后（例如操作系統升級、環境中添加子網絡或環境中添加網絡服務器）都需要執行內部和外部脆弱性掃描。外部 脆弱性掃描是需要由PCI SSC授權的掃描服務提供商執行，業界的術語叫做ASV（Approved Scanning Vendors）。目前PCI DSS對于外部脆弱性掃描活動不僅僅要求需要由ASV開展，對于實際執行脆弱性掃描的人員也需要經由PCI SSC進行培訓，考核并獲得相應資質證書之后才能出具具有資格的掃描報告。在滲透測試脆弱性分析的階段，測試人員可以參考客戶提供最近的ASV掃描報告作為脆弱性分析的輸入數據。

在完成對脆弱性分析之后，測試人員會根據與客戶之間的滲透測試方法和協議進一步對脆弱性進行滲透或者利用。在測試過程當中，滲透測試人員可能在初次攻擊完成之后獲得了有限的權限，此時滲透測試方法和協議則是測試人員最好的參考。如果客戶允許執行進一步的權限提升操作，測試人員則可能會嘗試將以獲得的權限提升至管理員級別或者系統級別的權限。

在完成對脆弱性的滲透和利用之后，測試人員會對滲透的結果進行評估和判斷，以確定脆弱性的可利用價值，同時滲透測試的過程以及測試過程中發現信息將會被編寫到最終的滲透測試報告當中。對于在滲透測試過程當中，由于特定的原因（如客戶的要求，漏洞利用條件的限制等等）導致脆弱性并沒有被實際測試，測試人員將會在報告當中描述惡意人員可能對該脆弱性使用的攻擊方法以及該脆弱性被成功利用后可能帶來的安全風險。

客戶根據滲透測試報告中所發現的脆弱性以及測試人員提供的解決方法進行脆弱性修復。對于完整的滲透測試流程通常還會包含對修復后的脆弱性進行驗證測試，從第三方的角度去評估脆弱性修復的有效性。

基于應用層和網絡層的滲透測試

對于PCI DSS第 11.3中有要求至少每年或者在基礎架構或應用程序有任何重大升級或修改后需要執行內部和外部基于應用層和網絡層的滲透測試。何為應用層滲透測試？何為網絡層滲透測試呢？應用層滲透測試指的是對web應用程序進行滲透測試，測試要求覆蓋OWASP Top 10（OWASP項目組會周期性的根據OWASP聯盟中應用開發和測試專家反饋的結果定期對web應用面臨的安全問題進行統計和排名，Top 10是web應用程序前10名影響最大的脆弱性）中的所有安全問題。對于網絡層的滲透測試，通常是指對操作系統，網絡設備等系統組件進行系統級別的滲透測試。

下圖是2007年和2010年OWASP Top 10的排名對比。從圖中可以看到Top 10的內容在這兩年的評估當中出現了變化。所以在滲透測試過程當中我們除了參照PCI DSS的要求之外，還需要參照OWASP最新的關于Top 10的排名情況。

怎樣選擇合適的滲透測試合作機構

前面介紹了很多關于滲透測試介紹，以及測試流程和方法，然而我們在實際執行滲透測試工作的時候，應該如何選擇合適的滲透測試實驗室或者滲透測試人員進行測試工作呢？對于滲透測試人員的選擇，PCI DSS在第11.3的要求：測試人員可以是內部具有能力且獨立的內部人員或者外部合格的第三方評測機構。對于內部人員的選擇，技術能力的考慮和測試人員的獨立性是最為重要的因素。對于第三方的評測機構的選擇，除了技術水平的考慮，以下的參考因素能夠為客戶在滲透測試過程當中可能會面臨的安全風險提供很好的安全保障。

專一性，IT安全是否是該公司的主營的業務？

該公司自身是否切實執行IT安全流程？

評估機構和他們員工是否具有相關的資質？

該評估機構是否為行業的領導者，幫助或者能夠分享相關的標準信息？

該機構是否具有相關的成功項目經驗？

該評估機構是否能夠提供除滲透測試以外其他能夠提高客戶流程等有價值的服務？

該評估機構是否能夠在很多不同的技術領域提供專業知識和經驗？

評估機構安全評測的獨立性，是否能夠為客戶提供第三方獨立的不帶任何偏見的評估報告？

該評估機構是否為客戶提供足夠的保險和合理的法律協議保障？

誰是該評估機構的服務客戶？

【編輯推薦】

1. 主賬號截斷對支付卡行業影響幾何
2. IronPort幫助零售商符合支付卡行業標準
3. RSA enVision解決方案平臺幫助支付卡行業實現法規遵從
4. 2011回顧：新環境下網絡安全令人堪憂
5. 安全觀點：DDOS有待手術式清洗