用户如何获得渗透服务---步骤与效果
用户如何获得渗透服务
----
渗透服务实施步骤与渗透效果分级
Jack zhai
渗透服务的步骤;
渗透服务需要模拟入侵与攻击,因此不同于其它的信息安全服务,其过程控制要严格得多。在确保用户业务运行安全的前提下,在整个操作过程可控制的前提下,按照预先约定的步骤进行,若发现突发性问题,可以立即终止渗透服务,迅速恢复现场。
获得渗透服务一般步骤如下:
1.
立项:用户提出渗透测试服务需求,招标或议标,确定服务提供商;
2.
授权:签订渗透服务授权书,允许渗透服务商在规定的时间段内,对协议的目标进行渗透测试的相关活动;
3.
目标:明确渗透服务的具体目标,确定具体的渗透方式,对渗透的影响进行评估;评估渗透服务的工作量与技术难度;
4.
合同:签订渗透服务的商务合同;
5.
准备:提供渗透所需的目标信息,选择合适的渗透场所,准备渗透所需的各种工具
(
渗透服务中使用的所有攻击类工具,全部由渗透服务商自己配备,由专业的渗透工作人员操作,不销售、不拷贝给其他人员,包括用户方
)
;
6.
渗透:具体的渗透工作,一般是隐蔽的,用户不增加比平时维护更多的关注;
7.
总结:时间到期,或渗透提前成功,评估结果,编写总结报告,给出整改建议报告;
8.
汇报:渗透服务商把渗透的过程与结果、建议向用户汇报,可以展示渗透的有关结果截图,或直接查看系统状态;
9.
清理:恢复修改过的目标配置,恢复修改过的数据与文件,彻底清除现场使用过的渗透工具拷贝;
10.
结束:渗透服务结束。渗透服务商交回所有涉及用户的资料,并承诺对渗透过程中得知的用户敏感信息保密,不向第三方扩散。
衡量渗透服务的效果:
渗透服务的交付结果应该是“用户可以理解的”,作为渗透的最终结果,可以通过下面四种服务目标来验证渗透的效果:
Ø
窃取到目标内的特定信息;
Ø
修改了目标内的特定信息;
Ø
建立了远程控制目标的后门通道;
Ø
成功潜伏在目标内没有被发现;
如何衡量渗透服务的效果?
作为安全服务,并非在规定的时间内都可以完成预定的渗透任务,为了可以衡量渗透服务的质量,根据渗透的实现程度把渗透服务的效果如下分级:
Ø
0
级:没有发现可利用的漏洞
n
没有发现可以利用的漏洞,包括技术漏洞与管理漏洞;
n
发现了漏洞,但没有利用成用成功;
Ø
1
级:利用漏洞成功,但渗透获得权限有限,无法进行深入工作
n
发现了应用类的漏洞,利用后获得权限有限,无法获取系统控制权限;
n
发现了管理类漏洞,但无法获得技术上进一步的突破;
n
利用漏洞时,被用户监控系统及时发现并阻止,无法进一步渗透;
n
获得部分终端或普通服务器等的权限,但还没有到达目标系统;
Ø
2
级:进入目标系统,但未完成特定的任务
n
拿到服务器控制权限,但未完成目标任务;
n
进入用户应用系统,但没有成功访问到用户敏感数据区域;
n
控制了与目标账户类似的账户,但没有获得目标账户控制权;
n
拿到目标特定信息,但无法回家
(
与渗透着建立联络
)
完成任务;
Ø
3
级:基本完成渗透目标任务
n
获取目标特定信息,并成功发送回家;
n
成功修改目标特定信息;
n
成功安装目标控制后门,可以控制“肉鸡”;
n
成功潜伏在目标内,并设置了激活条件;
Ø
4
级:完成渗透任务,并在规定时间内到达如下要求
n
目标特定信息已经成功泄漏,从第三方知道自己的信息泄漏;
n
正常的监控状态下,发现目标信息被篡改时,篡改时间超过
2
小时;
n
发现目标被远程作为“肉鸡”控制时,渗透者已经成功进行一次或多次远程控制操作,达到既定目标;
n
在规定渗透服务时间内,潜伏入侵者没有被发现;若用户服务要求潜伏者必须激活动作,激活后被发现时的已经时间超过
2
小时;
渗透效果的取得与限定的渗透服务时间长度有很重要的关系,尤其是模拟
APT
攻击的渗透,需要躲避用户信息安全防护体系的种种监控,不惊扰被渗透的目标人,一般不能直接扫描或暴力破解,采用慢扫描、诱骗等方式逐步渗透,有时时间可以长达几个月,因此,要达到第
4
级渗透效果一般很难,若是用户签订长期的渗透服务合同,或许可以获得满意的效果。
考核渗透服务团队的技术实力:
渗透服务对服务团队的技术能力要求很高,如何区别因用户防御能力造成的渗透服务效果不佳,还是渗透服务团队能力不够造成的渗透服务效果不佳,应区分以下几种情况:
1
、同一个的渗透团队对同一系统的多次渗透,渗透效果的级别应该是越来越低。因为每次渗透服务之后,用户会有针对性地加强防御,可以利用的漏洞越来越少;但两种情况应除外:第一,用户上线新系统;第二,用户没有针对渗透服务进行整改。
2
、不同渗透团队对同一个系统的渗透,渗透服务效果的级别越低,说明渗透团队的表现越差。