从攻击者的角度思考可以更快速了解企业在网络防御方面的不足。网络安全渗透测试工作的本质就是扮演攻击性黑客的角色,梳理企业的IT资产、寻找漏洞和攻击路径,以便更好地修复或应对风险。定期开展渗透测试对企业来说很宝贵,然而很多企业在准备制定渗透测试计划时,他们对渗透测试服务的理解和需求,往往与真实服务情况存在着很多偏差。本文梳理总结了企业在开展渗透测试工作时普遍存在的认知误区,并就如何避免这些错误给出了建议。
(相关资料图)
误区1
渗透测试总是主动发起的
开展渗透测试的主要目的是抢在攻击者之前发现系统的安全隐患和漏洞,因此渗透测试属于一种主动式的安全技术。但就具体的渗透测试工作而言,有时也会是被动发起的,例如当组织在调查网络攻击的原因时。在网络安全事件调查中,组织可以通过渗透测试以深入了解攻击的性质,并全面掌握该事件是如何发生的,采用的技术的是什么,以及攻击的动机是什么?因此,尽管大多数情况下,组织会主动执行测试以帮助防止违规行为。但渗透测试工作并不都是主动发起的,取证分析期间的渗透测试同样可以帮助企业了解发生了什么,从而帮助组织防止类似的事件再次发生。
误区2
渗透测试就是漏洞扫描
由于渗透测试和漏洞扫描都是为了识别潜在的威胁途径,因此很多人会将两者混为一谈。但实际上,漏洞扫描与管理主要包括识别和分类已知漏洞,生成需要注意的优先漏洞列表,并推荐修复它们的方法。而安全威胁非常多样,并不仅限于安全漏洞的利用。渗透测试侧重于模拟攻击者的行为,在服务完成后,测试人员需要生成一份详细报告,说明测试过程中是如何破坏安全性以达到先前商定的目标(例如破坏工资系统),并提供相应的威胁缓解方案。
误区3
渗透测试可以完全自动化
渗透测试自动化在理论上看起来不错,但在具体实现中会存在很多问题。为了实现常态化、持续性的安全能力测试,许多企业开始大量使用自动化技术驱动的安全测试方法,但需要指出的是:目前的自动化测试模式大多属于安全扫描,而非真正的渗透攻击测试。不可否认自动化测试的应用价值,但真正的攻击行为是和机器模拟入侵有很大差异的。经验、创造力和好奇心是渗透测试的核心,而这都是专业渗透人员独有的。人工测试是大多数的渗透测试项目不可或缺的,这样才能更好地从攻击者视角发现问题。
误区4
渗透测试意味着高成本
企业开展渗透测试工作需要一定的人力、技术和资金资源投入。虽然这些资源可能不容易获取,但它们在预防威胁方面具有的价值却值得组织投入心血。因为与网络攻击造成的经济损失相比,投入到渗透测试的成本可以说是微不足道的。随着数字化转型的深入,各种数据资产对企业而言是无价的,一旦数据被非法泄露,组织的商誉会受到严重损害。而如果攻击者的目标是为了勒索钱财,他们索要的赎金数额通常也会远高于渗透测试的成本预算。
误区5.
渗透测试应该由外部人员执行
关于渗透测试有一个长期存在的误区是,外部人员执行渗透测试会比内部人员更有效,其原因是外部人员对企业的数字化系统并不熟悉,因此会更加客观。虽然客观性是渗透测试有效性的关键,但了解业务系统并不就意味着不客观。
因此,渗透测试可由企业内部员工、专业服务商或其他第三方机构完成。渗透测试由标准程序和性能度量组成,只要测试者能够严格遵循测试指导原则,测试结果就是有效的。对于企业而言,选择的重点不应该放在聘请外部或内部测试者上,而是应该放在寻找能够出色完成工作的测试者上。
误区6
渗透测试是阶段性的工作
很多企业认为,渗透测试只需要阶段性开展就可以,因为一次测试的报告结果将会长期有效。在网络空间千变万化的发展态势下,这种认知将给企业带来一定的安全风险。由于网络犯罪分子会不停地寻找系统中的漏洞,如果渗透测试间隔时间长,他们就有机会领先于企业发现可利用的新漏洞。传统的渗透测试是按照固定的时间表进行的,属于定期评估的概念。持续渗透测试则是一个不断扫描系统以发现漏洞的过程,会变得越来越重要。
误区7
渗透测试仅用于发现技术缺陷
渗透测试的目的是发现组织安全防护体系中的不足。在测试中,测试方可以应用包括社会工程方式在内的多种方法。因此,在渗透测试之前,通常会确定是否需要专门评估某项技术的安全性。在实际应用中,测试工程师可能会被授权做更多事情,例如扫描社交媒体以获取可利用的信息,或尝试通过电子邮件从用户那里获取敏感数据,甚至尝试欺骗获取用户的账号权限等。
误区8
所有渗透测试都大同小异
从本质上讲,渗透测试是一个主要依靠安全专家或团队以人工方式模仿攻击者的真实攻击行为,其目的是在数字化基础设施的不同层级找到进入可以攻破目标网络的最有效方法。根据测试方法和目标的不同,渗透测试通常分为外部测试、内部测试、盲测、针对性测试等。
很多企业为了节省成本,往往会选择收费更便宜的测试提供商和测试方式,并认为各种类型测试的结果会很相似,但事实并非如此。与大多数服务一样,渗透测试的程度差异很大,既有覆盖网络所有区域的广泛测试,也有针对网络中少数区域的非广泛测试。企业应该根据实际需求,专注于寻找从测试中获得的价值,而不是成本。
误区9
良好的测试结果意味着没有问题
从测试中获得一个好的结果只是一个良好的开始,但组织不应该沾沾自喜,这也不代表企业的网络安全防护工作高枕无忧。只要组织的数字化系统还在运行,它就时刻会面临各种不断出现的新威胁。良好的测试结果只是肯定了过去建设的成绩,并激励组织继续重视在安全方面的投入。企业应该持续性进行渗透测试,以消除新出现的威胁,并确保系统没有威胁。
误区10.
渗透测试只适用于企业用户
有一种观念认为渗透测试是面向企业用户的,而不适用于个人用户,这是一种广泛的误解。渗透测试的目的是保护数据,而并非只有企业才拥有敏感数据,现代社会的每个人都会有大量的隐私数据,比如银行信息、信用卡详细信息和医疗记录等。攻击者同样会利用个人信息化应用的漏洞来访问并滥用数据。因此,我们每个人都应该提高数据安全和隐私保护的防范意识,在有条件的情况下,通过渗透测试来检验各种数据的安全性和可靠性。