渗透测试(Penetration Test)
1 概念
渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。也就是说是为了证明网络防御按照预期计划正常运行而提供的一种机制。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。
2 渗透测试的特点
渗透测试具有的两个显著特点是:渗透测试是一个渐进的并且逐步深入的过程。渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
3 网络渗透测试
主要通过对目标系统信息的全面收集、对系统中网络设备的探测、对服务器系统主机的漏洞扫描、对应用平台及数据库的安全性扫描及通过应用系统程序的安全性渗透测试等手段来完成对整个系统的安全性渗透测试。该渗透测试是一个完整、系统的测试过程,涵盖了网络层面、主机层面、数据库层面以及应用服务层面的安全性渗透测试。渗透测试流程如下:
4 渗透测试分类
黑盒测试 黑盒测试意味着测试人员是在对目标系统一无所知的状态下进行测试工作,目标系统对测试人员来说就像一个“黑盒子”。除了知道目标的基本范围之外,所有的信息都依赖测试人员自行发掘。而目标系统上往往会开启监控机制对渗透过程进行记录,以供测试结束后分析。也就是说虽然黑盒测试的范围比较自由和宽泛,但是仍需要遵循一定的规则和限制。 黑盒测试能够很好的模拟真实攻击者的行为方式,让用户了解自己系统对外来攻击者的真实安全情况。
白盒测试 与黑盒测试不同,白盒测试开始之前测试人员就已经从目标公司获得了足够的初始信息,例如网络地址段、使用的网络协议、拓扑图、应用列表等等。相对来说,白盒测试更多的被应用于审核内部信息管理机制,测试人员可以利用掌握的资料进行内部探查,甚至与企业的员工进行交互。对于发现现有管理机制漏洞以及检验社交工程攻击可能性来说,白盒测试具有非凡的意义。
隐秘测试 事实上隐秘测试类似一种增强的黑盒测试,对于受测机构来说该测试处于保密状态,可以将其想象为特定管理部分雇佣了外部团队来进行内部调查。除了不开启特定措施对测试过程进行监控和记录之外,测试工作的进行也不对员工进行通知,甚至不向信息安全管理部门进行说明。这种测试完全的模拟了真实的攻击,可以综合的考察组织信息安全工作的运转情况,对检验信息安全工作人员在安全事件响应和处理方面的成效很有帮助。
5 渗透测试范围
内网测试 内网测试往往相当于基于主机的渗透测试,通过对一个或多个主机进行渗透,发现某个系统集合的安全隐患。内网测试的另一项作用就是可以避免防火墙系统对测试的干扰,评估攻击者在跳过了边界防火墙限制之后可能的攻击行为。
外网测试 黑盒测试和隐秘测试往往都是外网测试,测试人员通过互联网线路对目标网络进行渗透,从而模拟外来攻击者的行为。对于边界防火墙、路由设备、开放服务器等设施的风险评估往往必须通过外网测试才能达成。
网间测试 在受测机构的不同网络间执行渗透测试,可以评估子网被突破后会对其它子网造成多大的影响。另外为了对交换机、路由器的安全性进行评估,通常也可以使用网间测试来完成。
区别网络渗透(Network Penetration)和渗透测试(Penetration Test),其实际上所指的都是同一内容,也就是研究如何一步步攻击入侵某个大型网络主机服务器群组。只不过从实施的角度上看,前者是攻击者的恶意行为,而后者则是安全工作者模拟入侵攻击测试,进而寻找最佳安全防护方案的正当手段。
6 渗透测试方案
一份渗透测试方案的整体框架:
1、目标
2、范围
3、渗透测试的必要性
4、渗透测试的可行性
5、系统备份和恢复措施
6、风险规避
目标 :阐述本次渗透测试的目标是什么?即通过渗透测试我们能帮助用户发现哪些问题?譬如发现服务器和网络设备中存在的弱点和威胁等。
范围: 说明渗透测试的范围,渗透测试都会有范围的限定,即用户会给定范围,可能是一个应用系统或者一个IP 地址甚至整个内网,这便是渗透测试的范围。渗透测试原则上是不允许对授权范围外的主机和网络设备进行渗透的。
渗透测试的必要性:主要说明为什么要做渗透测试?渗透测试能帮助解决哪些问题等。
渗透测试的可行性:因为一般客户对渗透测试不是很了解,通常会将渗透测试和黑客入侵归于同一类,因此我们在渗透测试方案中要向用户说明什么是渗透测试?渗透测试的流程和采取的方法与手段是什么?以及渗透测试可能会采用的工具有哪些?譬如:
◆ AppScan 扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议。
◆ Acunetix Web Vulnerability Scanner 网络漏洞扫描工具,通过网络爬虫测试你的网站安全,检测流行的攻击方式等,它会自动检查您的网页程序漏洞,例如SQL注入、跨网站脚本和验证页面弱密码破解。
◆ WebInspect 用于网络应用程序扫描工具。
◆ thc-orakel Oracle测试工具
系统备份和恢复措施: 虽然渗透测试采用的是可控制、非破坏性质方法,但在实际的渗透测试过程中可能会发生不可预知的风险,所以在渗透测试前要提醒用户进行渗透测试前要进行系统的备份。防止在出现问题时,可以及时的恢复。
风险规避: 主要对渗透测试中可能发生的风险进行说明,并针对这些风险我们将采取哪些手段进行有效的控制。譬如渗透测试的扫描不采用带有拒绝服务的策略、渗透测试安排在业务低峰期进行等。值得提醒的是在渗透测试过程中,如果发现被评估系统发生服务停止或者服务器宕机的现象,应立即停止测试,并联系客户的管理人员进行原因的分析,在查明原因后方可继续进行测试。
7 渗透测试报告
渗透测试报告是提交给用户的最终成果,渗透测试报告应将你渗透过程中采用的方法和手段进行说明,即漏洞的发现 --> 漏洞的利用 --> 获取权限 --> 权限的提升等。报告的最后应给出漏洞的加固建议,值得注意的是加固建议的可操作性。譬如 SQL 注入,对于懂得 SQL 注入的人来说,你和他说过滤相关敏感函数、进行输入输出验证等,他就会明白,而对于用户来说,应该更详细,最好能详细到每一步的操作步骤。关于渗透测试报告,根据自己的经验总结如下几点:
1、 渗透测试报告应考虑报告阅读者的技术层次,报告应力求通俗易懂,但又不能过多的透露详细的技术细节。前面已经提过,渗透测试报告不是黑客入侵教程,我们只需将发现漏洞的过程以及漏洞的危害阐述清楚即可,而不是将每一步使用了哪些方法甚至命令都详细的罗列出来。
2、 报告应注重用户关心的方面。很多用户关心的是数据的安全,而对于系统的隐患并不会有太多的关注。譬如一个财务系统,获取了财务数据远比获取系统权限来得有说服力。
3、 渗透测试报告应体现你的工作成果。这里的成果并不是你获取了哪些数据或者系统权限,而是本次渗透测试你到底做了哪些工作?因为渗透测试是靠运气和技术的,并不是每次渗透都能获得结果。在我们没有获得任何结果的情况下,我们怎样撰写报告?我们不可能只写一句话“本次渗透测试没有发现任何问题!”,这会让用户有种被欺骗的感觉!他们会认为自己花的钱没有体现出价值。所以我们必须要在渗透测试报告中说明我们尝试了哪些方法和手段?譬如使用了 SQL 注入、跨站、Sniffer 等方法,但是没有发现问题,最后定论用户的系统是安全的。这样会让用户觉得自己花钱来请你做渗透测试是值得的,毕竟你做这么多的工作。这一点是比较重要的,因为在实际的评估项目中,渗透没有结果的情况,是经常发生的,渗透测试人员应学会在渗透没有获得任何结果的情况下,撰写渗透测试报告。
安全加固,是参考渗透与评估结果,对存在安全风险的被评估系统,通过一系列整改措施来加强安全性的服务手段。
安全加固包括制定加固方案,打补丁、修改安全配置、购买产品、增加安全机制等方法。
网络与应用系统加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在客户信息系统的网络层、主机层和应用层等层次建立符合客户安全需求的安全状态,并以此作为保证客户信息系统安全的起点。
网络与应用系统加固的对象,往往存在以下安全问题:
1. 安装、配置不符合安全需求;
2. 参数配置错误;
3. 使用、维护不符合安全需求;
4. 系统完整性被破坏;
5. 被注入木马程序;
6. 帐户/口令问题;
7. 安全漏洞没有及时修补;
8. 应用服务和应用程序滥用;
9. 应用程序开发存在安全问题等。
网络与应用系统加固和优化服务的目的是通过对主机和网络设备所存在安全问题执行以下操作:
1. 正确的安装;
2. 安装最新和全部OS和应用软件的安全补丁;
3. 操作系统和应用软件的安全配置;
4. 系统安全风险防范;
5. 提供系统使用和维护建议;
6. 系统功能测试;
7. 系统安全风险测试;
8. 系统完整性备份;
9. 必要时重建系统等。
上述工作的结果决定了网络与应用系统加固和优化的流程、实施的内容、步骤和复杂程度。具体说,则可以归纳为:
1. 明确加固目标也就确定系统在做过加固和优化后,达到的安全级别,通常不同环境下的系统对安全级别的要求不同,由此采用的加固方案也不同. 明确加固目标的结果必须能够明确做加固和优化的系统如何在功能性与安全性之间寻求平衡,即加固后能达到的安全程度可以满足用户需求。
2. 明确系统运行状况的内容包括:
a) 系统的具体用途,即明确系统在工作环境下所必需开放的端口和服务等。
b) 系统上运行的应用系统及其正常所必需的服务。
c) 我们是从网络扫描及人工评估里来收集系统的运行状况的。
3. 明确加固风险:网络与应用系统加固是有一定风险的,一般可能的风险包括停机、应用程序不能正常使用、最严重的情况是系统被破坏无法使用。这些风险一般是由于系统运行状况调查不清导致,也有因为加固方案的代价分析不准确,误操作引起。因此在加固前做好系统备份是非常重要的。
4. 系统备份:备份内容包括:文件系统、关键数据、配置信息、口令、用户权限、等内容;最好做系统全备份以便快速恢复。
加固和优化流程概述
网络与应用系统加固和优化的流程主要由以下四个环节构成:
1. 状态调查
对系统的状态调查的过程主要是导入以下服务的结果:
a) 系统安全需求分析
b) 系统安全策略制订
c) 系统安全风险评估(网络扫描和人工评估)
对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度。同时,也必须在分析上述服务结果的基础上确定对网络与应用系统加固和优化的代价。
2. 制订加固方案
制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表
3. 实施加固
对系统实施加固和优化主要内容包含以下两个方面:
a) 对系统进行加固
b) 对系统进行测试
对系统进行测试的目的是检验在对系统使是安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即,每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。
对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统。
4. 生成加固报告
加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。其中包含以下内容:
a) 加固过程的完整记录
b) 有关系统安全管理方面的建议或解决方案
c) 对加固系统安全审计结果