我對(duì)“滲透性測(cè)試”的理解

提起滲透性測(cè)試(模擬黑客進(jìn)行“合法”的網(wǎng)絡(luò)入侵測(cè)試)，人們自然會(huì)想到黑客，好象做這種測(cè)試的只有真正的黑客才可以做到，但黑客通常是“虛擬網(wǎng)絡(luò)”中的人物，與現(xiàn)實(shí)生活中的人很難對(duì)應(yīng)，對(duì)于他們的行為感到神秘也是自然的。測(cè)試與攻擊有什么不同呢？我剛從事安全研究時(shí)也很困惑，攻擊是不按常理出牌的思維，遵循套路的只能是表演，不會(huì)實(shí)用，那么安全公司的專家們是如何進(jìn)行滲透性測(cè)試呢？一般來(lái)說(shuō)，這種測(cè)試的過(guò)程都是半隱蔽的，不同的安全公司、不同的人做這種測(cè)試的結(jié)果差異巨大。我們最終看到的多是一些結(jié)果報(bào)告，多數(shù)的報(bào)告是“模板”式的，開(kāi)頭是一大堆發(fā)現(xiàn)的漏洞，結(jié)果里總說(shuō)這有問(wèn)題，那有問(wèn)題，但究竟問(wèn)題對(duì)用戶數(shù)據(jù)安全、業(yè)務(wù)服務(wù)的具體影響？這個(gè)漏洞是否可以成為入侵的窗口？入侵者能否躲避開(kāi)監(jiān)控系統(tǒng)的眼睛，能否躲開(kāi)安全管理者為他們?cè)O(shè)計(jì)的種種“陷阱”？能說(shuō)明白的就非常少了。有漏洞不希奇，漏洞也分不同的級(jí)別，“虱子多了不咬”，用戶看了，一般都被搞得“找不到北”。反正“安全專家”說(shuō)：網(wǎng)絡(luò)漏洞還很多，具體什么問(wèn)題就不說(shuō)了，怎么辦呢？趕快買安全設(shè)備吧，花錢(qián)的時(shí)候別心痛，反正是國(guó)家的錢(qián)…花錢(qián)事小，安全責(zé)任重大啊…這種報(bào)告里，滲透的“實(shí)際成果”很少，有些“嚇?！庇脩舻囊馑?，漏洞是否可被利用，究竟能產(chǎn)生多大的危害，才是用戶真正想要的。當(dāng)然安全公司這樣做也有些無(wú)奈。一是要真正能滲透，并能取得“戰(zhàn)果”，需要利用很多的黑客工具，繞過(guò)自己安全產(chǎn)品的最新跟蹤技術(shù)，同時(shí)測(cè)試參與者要具備相當(dāng)?shù)摹昂诳蛯?shí)戰(zhàn)”能力，這一點(diǎn)，商業(yè)化的安全公司顯然是無(wú)法標(biāo)準(zhǔn)產(chǎn)品化的；二是真的獲取了用戶的機(jī)密資料，客戶能接受嗎？很多客戶的安全測(cè)試大多是例行公事，發(fā)生了安全事件，就牽扯責(zé)任問(wèn)題，問(wèn)題就變得復(fù)雜了。為了說(shuō)明這種無(wú)奈，我們先看一下一般企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)圖：

一般攻擊來(lái)自互聯(lián)網(wǎng)(大家最容易接受的)，主要是企業(yè)的互聯(lián)網(wǎng)門(mén)戶(如網(wǎng)站、公共服務(wù)器等)、互聯(lián)網(wǎng)出口、企業(yè)VPN訪問(wèn)網(wǎng)關(guān)等，都是攻擊的首要位置，但實(shí)際上入侵通過(guò)企業(yè)辦公區(qū)域網(wǎng)絡(luò)接入、辦公區(qū)域WLAN接入、員工移動(dòng)電腦木馬等內(nèi)部方式更為方便、直接。雖然安全公司與企業(yè)簽定“合法”滲透協(xié)議、保密協(xié)議等，但若真的企業(yè)機(jī)密被測(cè)試者拿到，企業(yè)也非常沒(méi)有面子，當(dāng)然也就不是很高興了，因此，大多數(shù)的安全公司采用了“黑盒表面”測(cè)試，黑盒就是不探明網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，不用發(fā)現(xiàn)機(jī)密資源的具體位置與獲取方式，重要的是：表面測(cè)試不用細(xì)致分析企業(yè)內(nèi)部業(yè)務(wù)流程上的安全漏洞，只在網(wǎng)絡(luò)“表面”做攻擊；所以，只要發(fā)現(xiàn)網(wǎng)絡(luò)可入侵的漏洞，在報(bào)告中告之客戶這個(gè)漏洞是存在的，是有可能被利用進(jìn)行入侵的，基本就停住了，再往深一步的入侵，除非是用戶強(qiáng)烈要求。正是基于這樣的想法，安全公司與用戶安全管理者都很有面子，項(xiàng)目操作很容易標(biāo)準(zhǔn)化，雙方都非常樂(lè)意接受。當(dāng)然，同質(zhì)化的結(jié)果就是滲透性測(cè)試的價(jià)格非常低廉，與通用的風(fēng)險(xiǎn)評(píng)估相差無(wú)幾了。

最初的滲透性測(cè)試不是這樣，應(yīng)該說(shuō)是一些黑客“從良”后的善意工作，滲透就是入侵的真實(shí)模擬?！度肭值乃囆g(shù)》中記錄了一個(gè)小故事：“一雙襪子”一家制作數(shù)字購(gòu)物卷的公司請(qǐng)安全公司對(duì)自己的網(wǎng)絡(luò)做滲透性測(cè)試。如何“入侵”呢？該公司以數(shù)字信息為生，購(gòu)物卷就是錢(qián)，公司對(duì)系統(tǒng)安全很重視，密碼系統(tǒng)非常完備，嘗試破解是困難的。入侵者觀察了商家如何兌換購(gòu)物卷，因?yàn)闇y(cè)試協(xié)議給了他們一個(gè)商家賬號(hào)(模擬用戶)，他們通過(guò)這個(gè)賬號(hào)進(jìn)入兌換系統(tǒng)，很快發(fā)現(xiàn)兌換系統(tǒng)有個(gè)應(yīng)用漏洞，能執(zhí)行入侵者的任何命令。兌換中心的計(jì)算機(jī)與制作購(gòu)物卷的公司是連通的，利用域信任關(guān)系，入侵者很容易進(jìn)入到公司內(nèi)部網(wǎng)絡(luò)，并發(fā)現(xiàn)了制作購(gòu)物卷的系統(tǒng)，通過(guò)商家的業(yè)務(wù)定單系統(tǒng)很容易給這個(gè)“造幣機(jī)”下達(dá)指令。入侵者可不只是顯示個(gè)用戶提示符(成功登錄)，而是給自己制作了一張購(gòu)物卷，金額是難以想象的，折合美元為19億元。入侵者用這張購(gòu)物卷在商家的網(wǎng)站上訂購(gòu)了一雙襪子，交易成功，商家不得不為這雙價(jià)值19億的襪子買單，因?yàn)橘?gòu)物卷是“真”的，當(dāng)然，襪子也是真的…

滲透性測(cè)試是模擬黑客入侵的思維，而不是形式。那么黑客入侵時(shí)想什么？因?yàn)槿魏伟踩w系的建設(shè)都是基于一種信任的，網(wǎng)絡(luò)的存在是要為人提供服務(wù)的，不可能對(duì)所有人都封閉，所以黑客想的應(yīng)該是：正常用戶業(yè)務(wù)處理的正常邏輯、方法，用戶需要這樣去完成他的工作，就需要IT部門(mén)這樣支持業(yè)務(wù)訪問(wèn)通道，黑客模擬成企業(yè)員工，通過(guò)同樣的通道，就不容易被發(fā)現(xiàn)。當(dāng)然這里說(shuō)的入侵不包括野蠻型的DDOS攻擊與表演型的網(wǎng)站涂鴉攻擊，這兩種攻擊都只在企業(yè)網(wǎng)絡(luò)外部，不需要入侵到內(nèi)部。實(shí)際的網(wǎng)絡(luò)入侵是一種“灰盒”測(cè)試，所謂灰的含義是黑客在入侵的過(guò)程中，通過(guò)猜測(cè)與分析、信息收集，逐漸明晰網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)(防火墻的位置，機(jī)密資源所在的服務(wù)器位置等)。滲透性測(cè)試要簡(jiǎn)單一些，可以看作是一種白盒測(cè)試，測(cè)試者可以先得到部分“內(nèi)部”信息，或一些實(shí)驗(yàn)賬號(hào)，可以節(jié)省很多探測(cè)的時(shí)間，但它與入侵的目的是一樣的，都是要利用一切可能的漏洞進(jìn)入，無(wú)聲無(wú)息地取走機(jī)密信息。這樣，我們?cè)倏雌髽I(yè)網(wǎng)絡(luò)結(jié)構(gòu)圖，滲透性測(cè)試的目標(biāo)就明確了，要找到進(jìn)入目標(biāo)資源的通道，而不僅僅是找到進(jìn)入網(wǎng)絡(luò)的通道。更為重要的是：測(cè)試還需要有非常好的自我隱蔽技術(shù)，不能很快被發(fā)現(xiàn)(安全監(jiān)視系統(tǒng)與審計(jì)系統(tǒng)能在你獲取機(jī)密資源前發(fā)現(xiàn)你)，因?yàn)檫M(jìn)入網(wǎng)絡(luò)后，獲取目標(biāo)資源還需要很多時(shí)間，這也正式滲透性測(cè)試與風(fēng)險(xiǎn)評(píng)估的差別，風(fēng)險(xiǎn)評(píng)估常常是評(píng)價(jià)防護(hù)體系，而滲透性測(cè)試常常是與監(jiān)控體系較量，入侵進(jìn)去是一種技術(shù)，進(jìn)去后不被發(fā)現(xiàn)地干好自己的事情是另一種技術(shù)---隱藏技術(shù)。

我們總結(jié)了一些衡量滲透性測(cè)試結(jié)果的信息，通常以獲得下面信息為標(biāo)志：入侵CEO的電腦(密碼與信息)企業(yè)核心機(jī)密資料(如軟件公司的源代碼庫(kù))高級(jí)管理人員的賬戶與密碼列表滲透性測(cè)試的報(bào)告中，應(yīng)該提交入侵可利用的資源分布圖(服務(wù)器、賬號(hào)、密碼列表)，包括可看到的、可拿走的、可篡改的…

當(dāng)然，安全漏洞都是有時(shí)限的，用戶打上了補(bǔ)丁，可能“通道”就關(guān)閉了，所以滲透性測(cè)試的結(jié)果也有時(shí)限意義。按我們的經(jīng)驗(yàn)，滲透性測(cè)試的結(jié)果通常不是