如何采取衡量的方法來(lái)進(jìn)行自動(dòng)化滲透測(cè)試?
自動(dòng)化滲透測(cè)試在改進(jìn)滲透測(cè)試過(guò)程和減少所需資源方面發(fā)揮著舉足輕重的作用,但如果沒(méi)有適當(dāng)?shù)姆椒ǎ瑒t可能完全是浪費(fèi)時(shí)間。本文中專(zhuān)家Kevin Beaver探討了這個(gè)話(huà)題。
快要被滲透測(cè)試壓垮?很多人都是這樣。面對(duì)PCI DSS、業(yè)務(wù)合作伙伴和客戶(hù)需求或者類(lèi)似責(zé)任,對(duì)滲透測(cè)試的需求的浪潮永無(wú)止境。鑒于系統(tǒng)和應(yīng)用的數(shù)量以及網(wǎng)絡(luò)環(huán)境的復(fù)雜程度,滲透測(cè)試可以是非常艱巨的任務(wù),這導(dǎo)致很多信息安全專(zhuān)業(yè)人員都只是“走走過(guò)場(chǎng)”來(lái)滿(mǎn)足合規(guī)要求或者想辦法完全跳過(guò)這些測(cè)試。但是這樣做的代價(jià)是什么?正如生活中的所有事物一樣,半心半意的方法來(lái)執(zhí)行滲透測(cè)試只會(huì)得到半心半意的結(jié)果,合規(guī)麻煩、信息風(fēng)險(xiǎn)和不可避免的數(shù)據(jù)泄露事故都會(huì)隨之而來(lái)。
但是,這些肩負(fù)這種基本業(yè)務(wù)工作的人員可以采取很多其他信息安全管理任務(wù)的方法以及自動(dòng)化來(lái)完成這些工作。例如,這些年以來(lái),信息安全專(zhuān)業(yè)人員已經(jīng)能夠自動(dòng)化諸如日志管理、補(bǔ)丁修復(fù)和源代碼分析等工作。并且,通過(guò)添加一些自動(dòng)化到滲透測(cè)試,我們可以最大限度地降低所需資源,同時(shí)保持滲透測(cè)試過(guò)程的完整性。另外,重要的是,采取衡量的方法。
采取衡量的方法來(lái)實(shí)現(xiàn)自動(dòng)化
首先,通過(guò)確定你想要完成的目標(biāo)來(lái)定義什么是“滲透測(cè)試”。有些人認(rèn)為滲透測(cè)試是運(yùn)行簡(jiǎn)單的漏洞掃描來(lái)安撫審計(jì)員。其他人則是證明他們可以找到一個(gè)漏洞來(lái)利用。筆者更喜歡更廣泛的漏洞評(píng)估定義,任何有IP地址或者URL的事物都可能受到攻擊。
從最關(guān)鍵的系統(tǒng)開(kāi)始,最后專(zhuān)業(yè)人員需要考慮網(wǎng)絡(luò),因?yàn)橥獠亢诳秃蛺阂鈫T工都知道網(wǎng)絡(luò)沒(méi)有界限。隨后,測(cè)試你系統(tǒng)的各個(gè)方面來(lái)確定易受攻擊的部分,無(wú)論你怎么命名這些部分。否則,這個(gè)安全計(jì)劃注定會(huì)失敗。
在“自動(dòng)化”滲透測(cè)試中,這種方法尤其重要。為什么呢?因?yàn)槟悴荒苁褂矛F(xiàn)有工具自動(dòng)化每個(gè)系統(tǒng)和應(yīng)用的每個(gè)測(cè)試。例如,尋找網(wǎng)絡(luò)主機(jī)中低強(qiáng)度密碼的大多數(shù)函數(shù)都可以自動(dòng)化,但登錄提示來(lái)瀏覽網(wǎng)絡(luò)、操作文件等相關(guān)程序無(wú)法自動(dòng)化。這些類(lèi)型的測(cè)試通常被稱(chēng)為身份驗(yàn)證漏洞掃描,這些測(cè)試可以通過(guò)編寫(xiě)腳本來(lái)進(jìn)行,但并不是真正的自動(dòng)化。
發(fā)現(xiàn)和利用Web應(yīng)用登錄機(jī)制、用戶(hù)會(huì)話(huà)管理和SQL注入中的漏洞同樣是如此。同樣地,單個(gè)函數(shù)(例如發(fā)現(xiàn)SQL注入和從數(shù)據(jù)庫(kù)提取數(shù)據(jù))也可以實(shí)現(xiàn)自動(dòng)化,但整個(gè)過(guò)程不能被自動(dòng)化。這個(gè)過(guò)程需要人類(lèi)互動(dòng)和專(zhuān)業(yè)知識(shí)來(lái)知道在哪里定位漏洞利用以及如何獲得最好的結(jié)果。
工具只是輔助
人們對(duì)自動(dòng)化的渴望讓流行的漏洞掃描儀中添加了很多新功能,例如Acunetix Web漏洞掃描儀(該工具善于破解Web應(yīng)用中的密碼)以及Metasploit Pro(可用于獲取命令提示符以及建立后門(mén)程序)。
但即使這些工具也不能完全自動(dòng)化這個(gè)過(guò)程。例如,通過(guò)Metasploit Pro,IT必須首先運(yùn)行漏洞掃描儀(例如Nexpose或Nessus)來(lái)發(fā)現(xiàn)漏洞。Metasploit Pro和商業(yè)漏洞掃描工具的用戶(hù)界面和很簡(jiǎn)單,但并不是每個(gè)滲透測(cè)試工具都簡(jiǎn)單,對(duì)于缺乏技術(shù)知識(shí)的人來(lái)說(shuō),這是一個(gè)問(wèn)題。
現(xiàn)在的滲透測(cè)試的最大好處是,市面上有豐富的安全測(cè)試工具可以讓滲透測(cè)試人員在幾分鐘內(nèi)破解未加密筆記本或無(wú)線網(wǎng)絡(luò)的密碼,或者簡(jiǎn)單地發(fā)起調(diào)子郵件釣魚(yú)活動(dòng)。網(wǎng)絡(luò)共享和訪問(wèn)不安全PII可以非常迅速實(shí)現(xiàn)。但這些并不能完全自動(dòng)化。就像放射科人員和房屋檢查人員,滲透測(cè)試人員可以采用先進(jìn)的工具,但發(fā)現(xiàn)、枚舉和報(bào)告結(jié)果不能完全自動(dòng)化,并且,筆者認(rèn)為未來(lái)可能仍然會(huì)這樣。
深度安全審查需要的不僅僅是輸入IP地址或者URL再單擊確定。當(dāng)然,程序和工作流程可以變得更有效,但創(chuàng)造力和過(guò)往實(shí)戰(zhàn)經(jīng)驗(yàn)將決定最終的勝負(fù)。最后,無(wú)論滲透測(cè)試發(fā)現(xiàn)了多少“漏洞利用”,IT專(zhuān)業(yè)人員仍然需要確定哪些是真正的安全風(fēng)險(xiǎn)以及哪些不是。
