【252期门诊集锦】参悟“渗透性测试服务”真谛
本期特邀资深信息安全、团队管理专家翟胜军老师,针对渗透性测试服务的问题给予解答,欢迎网友积极提问,与专家一起讨论!
专家博客:http://zhaisj.blog.51cto.com
查看本期门诊精彩实录:http://doctor.51cto.com/develop-266.html
参与最新技术门诊:畅谈WCF的扩展之“道”
精选本期网友提问与专家解答,以供网友学习参考。
Q: 您好:
渗透性测试服务既然作为服务,那么客户的认可度自然就非常重要,但由于国内的安全意识还比较薄弱,有些客户往往很难认同一些测试结果,比如:
1、有的客户就会认为XSS漏洞不是直接影响到服务器自身而不以为然。
2、缓冲区溢出漏洞又无法向用户进行攻击重放,客户会感觉说服力不够。
3、目录遍历漏洞不能单独利用而易被客户忽视。
4、DDOS又是对任何服务器都有可能面临的情况。
。。。。。。
向以上等这些问题您又是如何去说服客户认可你们的呢?谢谢!
A: 你提的问题很真实,确实是实际的问题。但更能证明我们推广渗透服务的必要性。
之所以推广渗透服务,就是系统地展示漏洞被利用可能产生的危害。每个漏洞可能都是入侵过程的一个步骤而已,如同你说的目录遍历,它只是提供了一些系统信息,是后续攻击动作的基础。所以它所能产生的危害,需要与后续的手段结合起来才可以展现。但若没有他提供的信息,后续的攻击也许就无法进行。
这就是其他的评估服务、咨询服务不能让用户理解那么长的漏洞列表意味着什么,渗透服务可以展示威胁的严重性,渗透服务可以让用户看到,一个小小的目录遍历的危害究竟有多大,当然,这需要其他方面的支持,这也正是渗透服务的困难所在。
再如缓冲区溢出时提权最为常用的方式,但没有入门的漏洞利用,实施缓冲区溢出也不容易,客户是否重视这个漏洞,关键是看它有没有可能被人利用。
XSS就更典型了,很多用户认为它是对用户有威胁,对自己没有危害,但用户也是为他的用户服务的,当他的用户知道他们不顾及自己的安全时,还有谁愿意访问他们的网站呢?没有了用户,他就不是安全的问题了,也许是关门问题了,你说他还不关心吗?
DDOS攻击好像是没有办法,尤其是针对带宽的攻击的,但也要看用户的业务是干什么的,如是网络游戏,耽误了用户玩游戏,老板损失多少money,谁不着急一定立即开了他...
你看吧,具体的问题,要针对用户具体的实际安全需求去分析,不是技术本身的问题,而是拿它用在哪里。
乞丐是不必担心小偷的,所以,推广信息安全要看用户的实际需求,实用价值才是用户需要的...
Q: 渗透测试是否有渗透服务技术规范?渗透服务技术规范主要包含的内容是什么?把渗透服务技术规范做好了就做好了渗透测试吗?
谢谢!
A: 渗透服务目前还没有国际、国内的技术规范,也许这是一门很专业的、特殊的行业,技术规范的确不容易制定。 虽然我定义渗透服务不是黑客入侵过程的再现,但渗透服务的宗旨是为了发现有价值的漏洞,阻止黑客的实际攻击,所以渗透服务的意图还是从黑客真是入侵的角度看待被攻击的目标,使用黑客实际攻击中的技术与手段。所以,渗透服务也与黑客攻击一样属于逆向思维,发现漏洞,利用漏洞... 这就像军队的战备,你有枪,我要有炮,你有炮,我要有原子弹...我的技术要能克制你,才能够从战略上压倒你,震慑你。我强大,你就不可能敢来攻击我,即使攻击也只能是蚂蚁撼树而已。 渗透服务没有技术规范,但安全维护管理有规范,因为规范的安全管理,可以抵御入侵与攻击。但是渗透服务不同于真实的黑客攻击,因为渗透服务是提前通知客户的,技术上的难度可以想象,用户的心里也很正常。 做好渗透服务的的工程师,应该说,就像一个教练与一个员动员对比赛的理解,运动员只是为了胜利,而教练不仅要理解比赛,制定有效的策略,还要说服运动员按照自己的想法与思路,最后取得胜利。 技术有成败,追求无止境。
Q: 我是一个IDC机房的运维技术,机房中有很多的肉鸡,在不停的扫描内网,请问有什么好的渗透测试工具,可以及早的发现服务器系统漏洞和应用程序漏洞,避免服务器被黑客攻击,利用
A: 知道自己机房内有很多的“肉鸡”,应该及早处理,如清理系统,清理木马病毒,甚至重装系统...切断肉鸡的控制系统是很关键的。作为IDC服务,应该很多服务器是用户的,即使你不能直接操作他们的机器,也应该通知用户,及时处理。饲养肉鸡,是后患多多的。 若自己清理起来有困难,可以与专业的安全公司联系,请专业的安全人员处理。 发现系统与应用的漏洞,可以用漏洞扫描工具,有软件的,有硬件的产品,很多安全公司都有这个产品,如启明星辰、天融信、绿盟等等,也有免费的软件,网上就可以搜索到。 漏洞扫描工具主要是发现漏洞,常用的解决办法还是打好补丁,尤其是系统的补丁。若你的应用软件对补丁不适应,不能打补丁,就需要部署安全防护措施,如防火墙、UTM、IDS等,但是如何部署,部署在什么地方,部署多少合适,还需要请专业的人员根据你的网络状况设计一下。若是你可以管理的服务器,还需要对服务器进行加固,如安装加固软件,优化安全配置等等。
Q: 你好
我是一名linux系统管理员,就目前来说,渗透大致分为两种,一种是纯技术的,另一种是通过社会工程学的,那以后的渗透技术会向哪个方向发展呢?
A: 打赢一场战争,要的是结果,成王败寇,没有人会去问他用得方法是道德的,还是残酷的。
信息安全是一种对抗性技术,无论黑猫白猫,能抓耗子就是好猫。所以渗透技术,技术的也好,社会工程的也好,只要能入侵成功,就是方向。
你说的很对,社会工程学正在成为入侵的主要手段之一,但并不意味着技术手段就退后了。安全常常是从你不注意的“短木板”进入的,如果最近新的渗透技术出现了,如SQL注入出现的时候,应用入侵就盛行了;缓冲区溢出被发现的时候,溢出攻击就流行了;若安全管理松懈了,也许利用社会工程学入侵的案例又大幅增多;
我认为这两个方向是个此消彼长的,当然还有其他的入侵方式,如内部人员信息泄漏、打入对方内部的“间谍”......手段还很多。
入侵的手段从来就不是可以总结完全的,若真那样,世界就真的和平了。
Q: 老师你好,我想问下要把信息安全学好最基础的应该先去学些什么呢?汇编还是高级语言呢?我觉得我现在就只是会用工具,想学点真正用得着的。
A: 信息安全的基础课程应该是计算机原理、操作系统、数据库、汇编语言、网络通信等,所以汇编语言应该是基础。高级语言有很多,但大多理念你相同,只是使用习惯与支撑环境的差异。
只会使用工具,才是入门级别,起码应该了解漏洞的原理,这样才可以随机应变。如果说学些实用的话,建议你学习 C编程,学习操作系统的基础,如Windows的驱动编程,Linux的驱动编程等等;还可以学习TCP/IP协议,掌握网络通信的基础。这些对你将来从事网络维护、系统管理、应用软件的开发都会有帮助。
Q: 老师,
您好,我想问个相对具体点的问题。渗透服务测试是个系统工程,其中从技术角度来看,个人认为可以归结为漏洞挖掘能力和漏洞利用能力。这两个应该也是最核心的东西,我想请问下老师如何评价或者说评估团队中的这两个能力,能不能给些具体的、可量化、可执行的评价标准。谢谢老师。
A: 首先,这方面业界还没有统一的定论,我只是从我的理解,大家一起讨论吧。
漏洞挖掘能力是一种科学的研究,有源代码分析,有逆向分析,还有灵感突现...目前一般用公布的漏洞数量与漏洞价值来比较。但是由于漏洞公布一直是业界“特别”的事情,买卖漏洞的黑市交易越来越多,不公布的漏洞可能蕴含量巨大,所以这个方式评价一个团队的能力,好像只是广告宣传效果。
我们目前采用的方式,就是你团队的开发能力,参照软件开发成熟度模型,有良好组织能力的团队,应该在漏洞挖掘能力上要优秀一些。
漏洞利用能力分为漏洞利用工具的使用能力,以及漏洞利用工具的开发能力。我个人更加重视后一种,用人家的工具,当然应该落后于人家。同样的原因,公布的漏洞利用工具,大多是教学使用,真正渗透时使用自己的专用工具很多。鉴于这种原因,我也是利用软件开发成熟度模型,认为有良好的开发能力,自然能在漏洞利用上有更好表现。
综合起来,评价漏洞挖掘与漏洞利用,主要是评价团队的规模、专业性、管理、案例、知名度等相关因素,也只是主观的打分,量化目前还很有难度。