安全咖啡屋 )●■■■日目n●玎■目■删■唧■H_ p I ,t 17b— ;日I q I..【一¨■ 躺麓囊噎 安全测试不同于渗透测试,渗 透测试侧重于几个点的穿透攻击, 而安全测试是侧重于对安全威胁的 瓣 危,不好利用的漏洞的利用方法。因 此安全测试关注点是业务系统在失 去所有外部防护之后,自身实现的 成本因素:对攻击者来说,利用 漏洞的收益是系统所保护的资产, 所以可以投入更多的成本来研究漏 建模。系统的对来自各个方面,各个 层面威胁的全面考量。安全测试可 以告诉您.您的系统可能会来自哪 个方面的威胁。正在遭受哪些威胁, 洞的利用,包括时间,人员,手段。 但是对安全测试来说,整个收益是 客户愿意投入的成本,系统所保护 的资产远大于系统开发投入,安全 安全性,关注高覆盖的安全测试和 安全度量,而不是单一的渗透测试。 当然目前,由于用户对安全的 理解还存在很多认识误区,还需要 以及您的系统已经可抵御什么样的 威胁。当然,安全测试涵盖渗透测试 的部分内容。安全测试与渗透测试 的区别主要在: 渗透测试考虑的是以黑客方 法。从单点上找到利用途径,证明你 投入又只占系统开发投入的百分之 三左右,所以从成本角度考虑,安全 测试只关注评估漏洞被利用的可能 性,而不应该具体去研究漏洞如何 被利用且展示给客户。 视角因素:安全测试是帮助客 慢慢改善。 例如有个项目,用户的目标是 希望能业务系统上线之前,通过测 试改善安全,用户以前的安全主要 是某国际大公司提供流程咨询一 套,但难以解决安全问题,因此用户 有问题,帮助客户提高认识,也能解 决急迫的一些问题,但无法也不能 去针对系统做完备性的安全测试, 所以难以解决系统自身实质性的安 全问题,所以提供渗透测试的厂商 一户降低安全威胁,减少安全漏洞。本 身是一种防护技术,尽量发现安全 问题并指导客户修复安全问题是关 键,沿着的路径是发现安全问题一> 分析评估安全问题一>提出修补建 希望引入安全测试来全面提升安 全,其实是很符合安全测试目标的, 但是在选型之后,给予几家厂商PK 的项目则是纯网站渗透测试性的, 评价标准也只是在谁最后真实入侵 般都是自己买什么防护设备,以 自己防护设备针对的威胁为主要渗 议一>度量安全,而不是以攻击者视 角发现安全问题一)利用安全问 题一)获得非法收益的路径。对防护 方最有价值的是发现问题,解决问 题,而不是发现问题,利用问题。防 护方关注都漏洞是否可被利用确定 安全漏洞和修复级别就够了,研究 再多的具体攻击利用技术,对操作 系统级别的防护是有意义的,但是 对普通应用系统的开发与使用者则 是无价值的。 假定因素:客户面临的风险不 仅来自于外部,也可能来自于攻击 了谁牛的标准,虽然我们也渗透成 功,但是出具的报告则是针对某个 页面具体的威胁分析,改进建议,没 有去放置破坏性实质入侵的东西, 用户反倒觉得没其他做渗透测试厂 商报告漂亮,抓了WEBSHELL的屏, 拿了敏感文件什么的,其实就和安 全测试的本意就远了。当然既然用 户的认识只在这个阶段,也没办法, 后面的测试我们就只能以渗透利用 的方式去做和出报告了,但我一直 在想,用户需要的是提升自身业务 系统的安全,继续渗透这套方法,我 透点.找到你有类似的问题,解决方 案就以卖对应的防护设备作为手 段。针对具体的威胁,通过防护设备 采取被动的防护。而安全测试的厂 商.则从整体系统架构。安全编码, 安全测试,安全测试覆盖性,安全度 量等多个因素去考虑问题.提出的 解决方法则是逐步帮助客户引入安 全开发过程,提供相应的工具支撑, 目标是最后让客户提升业务系统自 身实质性安全问题。 安全测试首先会对被测试系统 做系统分析,分析其架构,软件体系 以及程序部署等等,然后再对被测 系统做系统安全分析,在这之后会 对系统进行安全建模,明确本系统 可能来自的各个潜在威胁,之后需 者通过客户端主机的渗透(如通过 对某员工笔记本挂马再接入内网的 方式),还有可能来自于内部。安全 要保护全面的安全,我们不能假定 攻击者路径就一定处于同渗透测试 一样的纯外部严密防护中,也无法 们难道又要回到卖防护设备被动防 护的方式吗?在给微软测试当中,我 提交的报告无需去写EXP,除了 MDB那个例外,因为微软认为MDB 不是安全文件,我给他们说了可以 利用来打IIS,但估计我拙劣的英文 要剖析系统,确认有哪些攻击界面, 根据测试方案进行测试。 假定攻击者通过时间积累社工或自 身特性(员工)获取到一些信息。同 没让他们明白,最后才以BLUEHAT 上的实际演示来证明。其实技术发 安全测试只关注漏洞的可利用 性分析,但不关注漏洞如何被真实 利用的技术,这当中有几个因素: \ 时攻击利用技术发展到现在,已经 和具体应用的特性结合起来,攻击 者时刻有可能发现以前我们认为低 展到现在,安全漏洞具体怎么利用 成为了一门艺术,但是漏洞理论上 是否可被利用却是基本可以定性 《计算机与厨络》2012年第l7期 安全咖啡屋 计算机与网络创新生活 一… 。.姗瑶n哪_r 堵健纂蕊害簿 鍪 馒的秘点糠测 1.产品的攻击检测数量为多 主机的三种技术和系统。 数。 少?是否支持升级? 传统的IDS大多是两层结构,即 9.系统是否易用? IDS的主要指标是它能发现的入 “控制台一探测器”结构,一些先进 系统的易用性包括五个方面: 侵方式的数量,几乎每个星期都有新 的IDS产品开始采用三层架构进行 界面易用——全中文界面,方便 的漏洞和攻击方法出现,产品的升级 部署,即“控制台一事件收集器+安 易学,操作简便灵活。 方式是否灵活直接影响到它功能的 全数据库一探测器”结构,对于大型 帮助易用——在监控到异常事 发挥。一个好的实时检测产品应该 网络来说,三层结构更加易于实现分 件时能够立刻查看报警事件的帮助 能经常性升级,并可通过互联网或下 布部署和集中管理,从而提高安全决 信息,同时在联机帮助中能够按照多 载升级包在本地升级。 策的集中性。如果没有远程管理能 种方式查看产品帮助。 2.对于网络入侵检测系统,最大 力,对于大型网络基本不具备可用 策略编辑易用——能否提供单 可处理流量(PPS)是多少? 性。 独的策略编辑器?可否同时编辑多个 首先,要分析网络入侵检测系统 6.产品的误报和漏报率如何? 策略?是否提供策略打印功能。 所布署的网络环境,如果在512K或 有些IDS系统经常发出许多假 日志报告易用——是否提供灵 2M专线上布署网络入侵检测系统, 警,假警报常常掩盖了真攻击。这些 活的报告定制能力。 则不需要高速的入侵检测引擎,而在 产品在假警报重负下一再崩溃,而当 报警事件优化技术——是否针 负荷较高的环境中,性能是一个非常 真正攻击出现时,有些IDS产品不能 对报警事件进行优化处理,将用户从 重要的指标。 捕获攻击,而另一些IDS产品的报告 海量日志中解放出来,先进的IDS能 3.产品容易被攻击者躲避吗? 混杂在假警报中,很容易被错过。过 够将一定时间内的类似事件经过优 有些常用的躲开入侵检测的方 分复杂的界面使关掉假警报非常困 化处理后合并进行报警,这样,用户 法,如:分片、1广IL欺骗、异常TCP分 难,几乎所有IDS产品在默认设置状 面对的日志信息不仅更为清晰而且 段、慢扫描、协同攻击等。产品在设 态下都会产生非常多的假警报,给用 避免错过重要报警信息。 计时是否考虑到这一点。 户带来许多麻烦。 l0.特征库升级与维护的费用怎 4.能否自定义异常事件? 7.系统本身是否安全? 样? IDS对特殊的监控需求只能通过 IDS系统记录了企业最敏感的数 像反病毒软件一样。入侵检测的 用户自己定制监控策略实现。一个 据,必须有自我保护机制,防止成为 特征库需要不断更新才能检测出新 优秀的IDS产品,必须提供灵活的用 黑客的攻击目标。 出现的攻击方法。 户自定义策略能力,包括对服务、访 8.产品实时监控性能如何? 11.产品是否通过了国家权威机 问者、被访问者、端口、关键字以及 由IDS通信造成的对网络的负 构的评测? 事件的响应方式等策略。 载不能影响正常的网络业务,必须对 主要的权威评测机构有:国家信 5.产品系统结构是否合理? 数据进行实时分析,否则无法在有攻 息安全评测认证中心、公安部计算机 一个成熟的产品,必须是集成了 击时保护网络,所以必须考虑网络入 信息系统安全产品质量监督检验中 基于百兆网络、基于干兆网络、基于 侵检测产品正常工作的最大带宽 心等。 的,只要理论上可以被利用的漏洞, 本,大多数理论上可被利用的漏洞 非常容易实施攻击.证实这是个极 厂商都应该修补,因为我们不能假 都可以达到很高利用程度,最近提 度高危的安全漏洞。但是厂商会对 设攻击者不能通过深入研究达到实 交了一个非常严重的安全漏洞,但 发现自身安全漏洞支付成本,会对 质可利用,厂商也没必要花费大量 对方认为这个漏洞太难利用了,因 发现的安全漏洞写出可利用攻击来 的成本去研究实质可利用。所以微 为有应用自身编码检测要求,否则 支付成本吗?房屋安全验收员发现 软无需我提交EXP,只要指出是否 无法写自己可控内容到文件;没办 了房屋存在空鼓就可以了,而不是 理论可利用就可以了。 法,只能花了一晚上时间熬夜逆向 非得贴上瓷砖等上2年让墙砖‘出现 其实攻击者只要付出研究成 分析,最后写出了编码的代码,可以 开裂、脱落的现象才能给业主证明。 / 2012年第17期《计算机与网络》