浅谈国内的渗透评估过程

    [晴 January 4, 2008 13:33 | by ]
作者:叶子
随着网络的发展,越来越多的人认识到网络安全的风险。大家都开始重视网络渗透评估,花重金请第三方人员模拟黑客进行渗透攻击。下面跟叶子了解一下国内安全公司的渗透评估过程。

了解国内渗透评估过程之前,我们需要先知道什么是渗透评估?渗透评估就是请第三方人员模拟黑客攻击,对单位核心业务的服务器、重要的网络设备以及信息安全措施做出积级评估,积极分析安全措施的设计缺陷、技术缺陷和弱点,最后给单位的管理屋、技术人员提供一份全面的信息安全报告。通过渗透评估可以确定组织信息资源面临的威胁,发现和解决存在的弱点。了解弱点的基本技术、设计和执行的缺陷。降低组织的IT安全成本,提供更好的安全,保证为组织提供一个全面和彻底的安全架构,包括评估政策、流程、设计和实施。

针对国内的渗透评估流程,每个公司都有自己的一套流程,但大体上如下图所示:

Highslide JS


在渗透评估过程中,首先需要跟客户进行沟通,拿到客户的书面授权。只有书面授权后的渗透评估才是合法的,否则是违法行为。在得到书面授权后,需要制定实施方案。方案中包括是渗透评估的工作地点、工作周期、渗透目标等。一般大客户的渗透评估,需要指定工作地点,而且客户会对工作过程进行监控。客户需要做到对渗透评估所有细节和风险的把控,减少渗透评估带来的其它安全隐患。渗透目标是客户对互联网公开的IP地址,全世界的人都能访问到的IP地址。不同的客户需要渗透的目标不一样,有些用户只有单个目标IP地址,另有些用户上千目标IP地址。当然不同的目标地址收费也不一样。

当渗透评估方案制定完后,需要得到客户的确认,才能进一步进行方案的实施。在方案的确认过程中,客户可能会根据自己业务运行的情况,对渗透评估的时间做进一步的调整,避免在业务高峰期进行渗透评估,当评估过程出现问题时,影响正常的业务运行。对于DDOS类的工具测试,在方案确定应该明确指出不能使用这类工具进行渗透评估。所有的渗透评估方案的大部分风险都是已知、可控的情况下实施的,这也是专业的渗透评服务与黑客攻击入侵的本质不同。

信息收集分析是所有攻击行为的前提步聚,通过信息收集了解单位组织中的信息网络结构、网络设备、应用服务器等基础设施和基础软件的信息。通过对目标IP公开的网络信息收集,比如whois、finger等分析确定目标主机的安全设施的行为。通过对目标IP返回的banner信息、操作系统指纹信息、应用服务系统信息,分析出防火墙、路由器、应用设备的相关的安全设备系统版本等信息。信息收集可以应用各类扫描工具来收集相关的信息,比如端口扫描工具、弱口令扫描工具、专用应用的扫描工具、商业网络安全漏洞扫描工具、免费的安全扫描工具等。工具只是帮助在做渗透评估时减少评估使用的时间,因此不能太依懒于安全工具。渗透评估主要依靠评估人员的安全经验、安全漏洞的发现和利用经验,对网络结构、业务应用的弱点分析经验。

权限获取是基于信息收集,对网络中安全弱点的分析后,获取目标主机的权限过程。权限获取可以根据目标地址应用程序存在远程溢出的漏洞,通过远程溢出攻击获取目标主机的权限(如果远程溢出操作对系统有破坏性的影响,建议不进行操作,但在报告中描述出来);通过弱口令猜测,获取远程目标主机的telnet、ftp服务的账号,或者远程控制3389之类的账号;通过对目标地址的Web应用进行扫描,发现其应用SQL技术中存在SQL注入的漏洞,利用SQL注入漏洞上传Webshell,提升权限,获取网站的控制权限。在权限获取过程中,可以根据业务应用的漏洞,使用各种方法进行权限获取。另外在权限获取过程中,我们不建议使用社会工程学、网站挂马等方法来进行权限获取。

虽然前期做了很多的工作,但渗透测试的真实的价值体现是在后期工作的报告和汇报上。如果报告没有明确易懂,那么整个过程的价值将无法最大化地体现出来。完美的报告应该介绍针对测试目标的入侵过程,对风险的分析和解决方案的描述,高层的人需要简明看懂的方案,技术管理人员需要总体解决方案,系统管理员需要一步步解决弱点的处理方案。

渗透评估只是在有限的时间内对网络信息安全进行全面的评估,它只能降低单位组织的安全隐患,但不能保障渗透评估后就不会出现被黑客再次入侵的情况。黑客攻击是没有任何时间限制的,他们不仅可以花一个星期的时间来发现系统的弱点,也可能花几年的时间来发现问题。再说随着技术的发展,新的安全漏洞被发现,安全管理如果没有及时跟上,则会产生新的安全隐患。因此建议客户每年至少两次以上的安全渗透评估,以进一步保障组织的信息安全。

以上只是叶子个人对国内渗透评估的了解,不足之处,希望各位多多指教,并希望能与您进一步的交流。

Quotation
冷漠PS:看了这文章,作者大概的描述了下渗透测试的流程和一般使用的方法,基本的渗透测试也就是这样的,但作者好像并未对详细的技术细节进行相关的说明,譬如权限获取方面只是提了下可能利用的方法,一直想有找篇详细的渗透测试的评估指南之类的,Zwell 好像在写这样的东西,不过还未全部完成呢..Zwell 的好像比较详细些,叶子的这篇偏向于理论,Zwell 的偏向于技术.
InfoSecurity | Comments(1) | Trackbacks(0) | Reads(7553)
sansed
January 4, 2008 14:31
love
Pages: 1/1 First page 1 Final page
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive