浅谈网络信息安全渗透测试的常见误区

  从攻击者的角度思考可以更快速了解企业在网络防御方面的不足。网络安全渗透测试工作的本质就是扮演攻击性黑客的角色，梳理企业的IT资产、寻找漏洞和攻击路径，以便更好地修复或应对风险。定期开展渗透测试对企业来说很宝贵，然而很多企业在准备制定渗透测试计划时，他们对渗透测试服务的理解和需求，往往与真实服务情况存在着很多偏差。本文梳理总结了企业在开展渗透测试工作时都会存在的认知误区，并就如何避免这一些错误给出了建议。

  开展渗透测试的最大的目的是抢在攻击者之前发现系统的安全风险隐患和漏洞，因此渗透测试属于一种主动式的安全技术。但就具体的渗透测试工作而言，有时也会是被动发起的，例如当组织在调查网络攻击的原因时。在网络安全事件调查中，组织能够最终靠渗透测试以深入了解攻击的性质，并全面掌握该事件是如何发生的，采用的技术的是什么，以及攻击的动机是什么？因此，尽管大多数情况下，组织会主动执行测试以帮助防止违反相关规定的行为。但渗透测试工作并不都是主动发起的，取证分析期间的渗透测试一样能帮助企业了解发生了什么，从而帮助组织防止类似的事件再次发生。

  由于渗透测试和漏洞扫描都是为了识别潜在的威胁途径，因此很多人会将两者混为一谈。但实际上，漏洞扫描与管理最重要的包含识别和分类已知漏洞，生成必须要格外注意的优先漏洞列表，并推荐修复它们的方法。而安全威胁非常多样，并不仅限于安全漏洞的利用。渗透测试侧重于模拟攻击者的行为，在服务完成后，测试人需要生成一份详细报告，说明测试过程中是如何破坏安全性以达到先前商定的目标（例如破坏工资系统），并提供对应的威胁缓解方案。

  渗透测试自动化在理论上看起来不错，但在具体实现中会存在很多问题。为实现常态化、持续性的安全能力测试，许多公司开始大量使用自动化技术驱动的安全测试方法，但需要指出的是：目前的自动化测试模式大多属于安全扫描，而非真正的渗透攻击测试。不可否认自动化测试的应用价值，但真正的攻击行为是和机器模拟入侵有很大差异的。经验、创造力和好奇心是渗透测试的核心，而这都是专业渗透人员独有的。人工测试是大多数的渗透测试项目不可或缺的，这样才可以更好地从攻击者视角发现问题。

  企业开展渗透测试工作需要一定的人力、技术和资金资源投入。虽然这些资源可能不容易获取，但它们在预防威胁方面具有的价值却值得组织投入心血。因为与网络攻击造成的经济损失相比，投入到渗透测试的成本能够说是微不足道的。随着数字化转型的深入，各种数据资产对企业而言是无价的，一旦数据被非法泄露，组织的商誉会受到严重损害。而如果攻击者的目标是为了勒索钱财，他们索要的赎金数额通常也会远高于渗透测试的成本预算。

  关于渗透测试有一个长期存在的误区是，外部人员执行渗透测试会比内部人员更有效，其原因是外部人员对企业的数字化系统并不熟悉，因此会更加客观。虽然客观性是渗透测试有效性的关键，但了解业务系统并不就从另一方面代表着不客观。

  因此，渗透测试可由企业内部员工、专业服务商或其他第三方机构完成。渗透测试由标准程序和性能度量组成，只要测试者能够严格遵循测试指导原则，测试结果就是有效的。对公司而言，选择的重点不应该放在聘请外部或内部测试者上，而是应该放在寻找能够出色完成工作的测试者上。

  很多企业认为，渗透测试只需要阶段性开展就可以，因为一次测试的报告结果将会长期有效。在互联网空间千变万化的发展形态趋势下，这种认知将给公司能够带来一定的安全风险。由于网络犯罪分子会不停地寻找系统中的漏洞，如果渗透测试间隔时间长，他们就有机会领先于企业发现可利用的新漏洞。传统的渗透测试是按照固定的时间表进行的，属于定期评估的概念。持续渗透测试则是一个不断扫描系统以发现漏洞的过程，会慢慢的变重要。

  渗透测试的目的是发现组织安全防护体系中的不足。在测试中，测试方能应用包括社会工程方式在内的多种方法。因此，在渗透测试之前，通常会确定是不是需要专门评估某项技术的安全性。在实际应用中，测试工程师可能会被授权做更多事情，例如扫描社会化媒体以获取可利用的信息，或尝试通过电子邮件从用户那里获取敏感数据，甚至尝试欺骗获取用户的账号权限等。

  从本质上讲，渗透测试是一个主要是依靠安全专家或团队以人工方式模仿攻击者的真实攻击行为，其目的是在数字化基础设施的不同层级找到进入可以攻破目标网络的最有效方法。根据测试方法和目标的不同，渗透测试通常分为外部测试、内部测试、盲测、针对性测试等。

  很多企业为了节约成本，往往会选择收费更便宜的测试提供商和测试方式，并认为很多类型测试的结果会很相似，但事实并非如此。与大多数服务一样，渗透测试的程度差异很大，既有覆盖网络所有区域的广泛测试，也有针对网络中少数区域的非广泛测试。企业应该根据实际的需求，专注于寻找从测试中获得的价值，而不是成本。

  从测试中获得一个好的结果只是一个良好的开始，但组织不应该沾沾自喜，这也不代表企业的网络安全防护工作高枕无忧。只要组织的数字化系统还在运行，它就时刻会面临各种不断出现的新威胁。良好的测试结果只是肯定了过去建设的成绩，并激励组织继续重视在安全方面的投入。企业应该持续性进行渗透测试，以消除新出现的威胁，并确保系统没威胁。

  有一种观念认为渗透测试是面向企业用户的，而不适用于个人用户，这是一种广泛的误解。渗透测试的目的是保护数据，而并非只有企业才拥有敏感数据，现代社会的每一个人都会有大量的隐私数据，比如银行信息、信用卡详情信息和医疗记录等。攻击者同样会利用个人信息化应用的漏洞来访问并滥用数据。因此，我们每个人都应该提高数据安全和隐私保护的防范意识，在有条件的情况下，通过渗透测试来检验各种数据的安全性和可靠性。

  北京恒安蓝讯科技有限公司是一家网络安全企业，坚持以“网络安全”为中心，能够为企业客户，提供网络安全等级保护咨询、渗透测试、漏洞测试、源代码审计、安全配置核查和安全产品集成等服务。返回搜狐，查看更加多