选择***者的角色 --- ***测试的起点
Jack zhai
 
***服务是为了验证漏洞的可被利用性,以及被利用的程度,即所能造成的威胁有多大。企业信息安全防御体系面临的***是多方面的,不仅有来自外部的***,而且有来自内部各类人员的窃取与篡改。如何选择***的起点,模拟***者的角色很重要。
不同角色的人对信息防御体系知悉的程度差异很大,了解得越多,绕过防御措施越容易,***相对容易,花费时间也较少。
作为一种商业安全服务,选择不同的角色,意味着***难度的不同,工作量的不同,最终完成目标的***时间也就不同,***的效果也可能不同。
不衡量技术难度与工作量,就无法确定服务的商业价值,若一味追求低价政策,***服务商无法提供高水平的***人员参与,无法使用高技术含量、最新安全技术工具,***服务的质量就会大打折扣,从而无法验证安全漏洞可带来的威胁程度,也失去了***服务的意义。
 
一、按角色分类:
角色就是模拟***者的身份。确定角色,可以确定***者对目标网络架构、安全体系、业务逻辑了解的程度,了解得越多,意味着越接近目标。
***的技术难度则主要看目标的安全防御体系是否完善,一般来讲,***内网业务服务器比互联网上的服务器难度大,对防御完善的系统***技术难度明显加大。
根据***者的角色,***服务可以分为:
1、             自由***:对被***者了解只限于从公众信息媒体中了解到的,一般是从互联网发起***。用户对***服务也许没有明确的目标,就是要检验自己防护系统的漏洞,***者可以篡改页面,可以控制“肉鸡”,也可以自己选择目标服务器;
2、             普通用户:作为用户业务的普通用户,可以从互联网,也可以从内网的一个终端发起***。对用户网络架构部分了解,对安全体系不了解,对用户业务系统有所了解。用户***目标明确,一般就是业务系统敏感信息窃取;
3、             网管人员:用户内部的运维管理人员。一般从内网开始***,对网络、安全机制都很熟悉。***服务的目标很明确,就是验证安全监控体系是否可以察觉、是否可以取证内部人员的窃密行为;
4、             管理人员:主管人员一般拥有网络内部高级访问权限,熟悉内部网络与安全机制。***服务主要验证内部安全审计措施是否完善,若对用户业务流程有一定了解,可以验证业务流程中的安全控制机制是否完善;
5、             第三方维护人员:外包运维服务是很多企业所采用的,作为运维人员,对用户内部的部分系统非常熟悉,如网络维护者、安全维护者、业务系统维护者、服务器维护者、办公系统维护者,正常情况下对其他系统并不熟悉,但他们有很多机会接触到其他系统的维护人员,工作空间也可能是交叉的。***服务主要是验证对第三方运维人员管理上的安全漏洞;
 
下表是不同***服务类型,在通常情况下的技术难度与工作量(若目标安全防御体系完善时,技术难度应该提高一个等级)
 
目标
***渠道
用户信息
技术难度
技术工作量
自由***
不明确
互联网
不熟悉,通过 Google/ 百度搜索信息
普通用户
明确
内网 / 互联网
部分熟悉
网管人员
明确
内网
熟悉
管理人员
明确
内网
熟悉
第三方维护
明确
内网 / 互联网
部分熟悉
 
二、按***目标分类
影响***服务时间与效果的,不仅有***者的角色,而且还有***目标的类型,直接体现在***过程中的技术难度差异。
***服务的技术难度,与目标的位置有关,门户网站直接暴露在互联网上,而业务核心数据库则在企业安全性最好的机房内部;与目标的种类有关,如WindowsLinux、专用系统等;与目标业务类型有关,如Ftp服务、Http服务、OA系统、数据库等;与目标的安全防御措施有关,如NAT地址隐藏、防火墙策略、×××认证、主机安全监控等。
1、              门户网站:面对互联网,从技术难度的角度排序应该是:页面挂马、网页被篡改、服务器成“肉鸡”、成为***内部网络的跳板;
2、              邮件系统:邮箱是信息通讯的必备工具,最为突出的问题是邮箱密码被破解;当然邮件服务器也是被***的目标;
3、              业务主机:业务处理服务器、资源下载服务器、DNS服务器等等,主机最担心的是被人安装***收集信息,或成为“肉鸡”;
4、              特定用途主机:可以是资料服务器,可以是某业务主管的个人电脑,***该主机为了就是窃取敏感信息;
5、              业务系统:针对某业务系统的***,可以***业务服务器,或者数据库服务器,也可以获取该业务管理员的账户口令,或者是高级业务用户登录权限,其目的是下载业务数据、非授权操作业务流程、篡改特定业务数据等等;如电子商务计费系统、ERP系统、软件版本管理服务器等;
6、              网络或安全设备:针对网络或安全设备的***不是很多,但危害很大,破译密码后,可以直接修改网络路由与安全策略,让后续的其他***工作顺利通过;
7、              网络基本服务系统:针对CA证书系统、DNS服务器、网管系统等的***,一般不为用户所关注,但这些维护网络正常运转的网络服务系统一旦被***,影响面很大,可以在短时间内迅速成功***到其他各个业务系统或主机;
 
下表是不同***服务类型,在通常情况下的技术难度与工作量(若目标安全防御体系完善时,技术难度应该提高一个等级)
   
工作量小
工作量中
工作量大
技术难度小
 
( 网站 ) 网页挂马
( 网站 ) 篡改网页
 
技术难度中
 
邮箱*** ( 邮件系统 )
业务系统
特定用途主机 ( 终端 )
技术难度大
邮件系统主机
业务主机 ( *** )
特定用途主机 ( 服务器 )
( 网站 ) 控制主机
网络和安全设备
业务主机 ( 肉鸡 )
业务主机 ( 潜伏 )
网络基本服务系统