用户如何获得***服务
----
***服务实施步骤与***效果分级
Jack zhai
***服务的步骤;
***服务需要模拟***与***,因此不同于其它的信息安全服务,其过程控制要严格得多。在确保用户业务运行安全的前提下,在整个操作过程可控制的前提下,按照预先约定的步骤进行,若发现突发性问题,可以立即终止***服务,迅速恢复现场。
获得***服务一般步骤如下:
1.
立项:用户提出***测试服务需求,招标或议标,确定服务提供商;
2.
授权:签订***服务授权书,允许***服务商在规定的时间段内,对协议的目标进行***测试的相关活动;
3.
目标:明确***服务的具体目标,确定具体的***方式,对***的影响进行评估;评估***服务的工作量与技术难度;
4.
合同:签订***服务的商务合同;
5.
准备:提供***所需的目标信息,选择合适的***场所,准备***所需的各种工具(***服务中使用的所有***类工具,全部由***服务商自己配备,由专业的***工作人员操作,不销售、不拷贝给其他人员,包括用户方);
6.
***:具体的***工作,一般是隐蔽的,用户不增加比平时维护更多的关注;
7.
总结:时间到期,或***提前成功,评估结果,编写总结报告,给出整改建议报告;
8.
汇报:***服务商把***的过程与结果、建议向用户汇报,可以展示***的有关结果截图,或直接查看系统状态;
9.
清理:恢复修改过的目标配置,恢复修改过的数据与文件,彻底清除现场使用过的***工具拷贝;
10.
结束:***服务结束。***服务商交回所有涉及用户的资料,并承诺对***过程中得知的用户敏感信息保密,不向第三方扩散。
衡量***服务的效果:
***服务的交付结果应该是“用户可以理解的”,作为***的最终结果,可以通过下面四种服务目标来验证***的效果:
Ø
窃取到目标内的特定信息;
Ø
修改了目标内的特定信息;
Ø
建立了远程控制目标的后门通道;
Ø
成功潜伏在目标内没有被发现;
如何衡量***服务的效果?
作为安全服务,并非在规定的时间内都可以完成预定的***任务,为了可以衡量***服务的质量,根据***的实现程度把***服务的效果如下分级:
Ø
0级:没有发现可利用的漏洞
n
没有发现可以利用的漏洞,包括技术漏洞与管理漏洞;
n
发现了漏洞,但没有利用成用成功;
Ø
1级:利用漏洞成功,但***获得权限有限,无法进行深入工作
n
发现了应用类的漏洞,利用后获得权限有限,无法获取系统控制权限;
n
发现了管理类漏洞,但无法获得技术上进一步的突破;
n
利用漏洞时,被用户监控系统及时发现并阻止,无法进一步***;
n
获得部分终端或普通服务器等的权限,但还没有到达目标系统;
Ø
2级:进入目标系统,但未完成特定的任务
n
拿到服务器控制权限,但未完成目标任务;
n
进入用户应用系统,但没有成功访问到用户敏感数据区域;
n
控制了与目标账户类似的账户,但没有获得目标账户控制权;
n
拿到目标特定信息,但无法回家(与***着建立联络)完成任务;
Ø
3级:基本完成***目标任务
n
获取目标特定信息,并成功发送回家;
n
成功修改目标特定信息;
n
成功安装目标控制后门,可以控制“肉鸡”;
n
成功潜伏在目标内,并设置了激活条件;
Ø
4级:完成***任务,并在规定时间内到达如下要求
n
目标特定信息已经成功泄漏,从第三方知道自己的信息泄漏;
n
正常的监控状态下,发现目标信息被篡改时,篡改时间超过2小时;
n
发现目标被远程作为“肉鸡”控制时,***者已经成功进行一次或多次远程控制操作,达到既定目标;
n
在规定***服务时间内,潜伏***者没有被发现;若用户服务要求潜伏者必须激活动作,激活后被发现时的已经时间超过2小时;
***效果的取得与限定的***服务时间长度有很重要的关系,尤其是模拟APT***的***,需要躲避用户信息安全防护体系的种种监控,不惊扰被***的目标人,一般不能直接扫描或暴力破解,采用慢扫描、诱骗等方式逐步***,有时时间可以长达几个月,因此,要达到第4级***效果一般很难,若是用户签订长期的***服务合同,或许可以获得满意的效果。
考核***服务团队的技术实力:
***服务对服务团队的技术能力要求很高,如何区别因用户防御能力造成的***服务效果不佳,还是***服务团队能力不够造成的***服务效果不佳,应区分以下几种情况:
1、同一个的***团队对同一系统的多次***,***效果的级别应该是越来越低。因为每次***服务之后,用户会有针对性地加强防御,可以利用的漏洞越来越少;但两种情况应除外:第一,用户上线新系统;第二,用户没有针对***服务进行整改。
2、不同***团队对同一个系统的***,***服务效果的级别越低,说明***团队的表现越差。