滲透測試最重要的工具竟然是 Word 和 PPT ?
責編:gltian |2019-11-20 14:43:57很多 CISO 極其信賴滲透測試——對公司基礎設施的模擬攻擊(通常是網絡基礎設施,但實體安全測試也會落入此模擬攻擊范圍)。意大利國家電力公司 Enel 的 CISO Yuri Rassega 也不例外。他表示,自己的公司每年對公司關鍵資產執行約 400 次深度漏洞測試,平均每天超過一次。
但若未清晰界定測試范圍并達成共識,事情就有可能很快跑偏:網絡安全公司 Coalfire 對愛荷華州法院的滲透測試就導致兩名員工因非法侵入被捕。
正如 Coalfire 哀嘆的:Coalfire 和州法院管理處認為已就工作范圍中所含位置的實體安全評估達成了一致……最近的事件卻表明他們對該協議的范圍有不一樣的解釋。
滲透測試本身的定義也會出現類似的混亂。
漏洞獎勵公司 HackerOne 的技術項目經理 Niels Schweisshelm 透露:一定不能弄混滲透測試和漏洞評估。漏洞評估的結果是系統中漏洞的概覽,而滲透測試是通過結合并利用上述漏洞來揭示整體影響。
簡言之,黑客侵入某系統可不僅僅是靠發現一個可打開網絡的大漏洞。
惡意黑客入侵系統通常是先找出一個低級漏洞,然后結合其他一系列低級漏洞,一步步獲取更高權限。
滲透測試的艱難時刻:他們決定進入完全 “紅隊” 模式
客戶和滲透測試員之間的絕對清晰非常重要。
正如 Synopsys 高級首席顧問 Andrew van der Stock 強調的:真正的攻擊者沒有交戰規則、時間限制和界限,但我們有。
我知道某前任雇主的一次滲透測試中就沒提到數據滲漏方面的規則。一位年輕的團隊成員發現了一個默認高權限賬戶。這是個應該上報的發現,但他們決定進入完全 ‘紅隊’ 模式,克隆并下載了一個大對象以供后續分析,抽干了系統的磁盤空間。該事件導致客戶和測試員都陷入了艱難對話……
溝通與許可為王。
謹慎選擇供應商
Context Information Security 首席顧問兼紅隊主管 Rob Downie 稱:大范圍和高操作自由度的滲透測試常被歸入 “紅隊” 或 “模擬攻擊” 范疇討論。這種類型的測試著眼全部安全控制,往往針對更高級和完備的防御團隊,評估人員、過程和技術聯動中的漏洞。
這可真實剖析公司防御表現,但也需要一些高級專業技能以安全可控的方式來規劃、風險管理和交付。這就使得供應商選擇對尋求此類服務的公司企業而言更加重要了。
優秀滲透測試員需具備哪些素質?
很明顯,對操作系統和協議的深度理解是關鍵。對應用及工具工作原理和互動模式的敏銳目光,有助發現可組合使用的低級漏洞。
但 F-Secure Consulting 的技術總監 David Hartley 強調,良好的攻擊性安全技術還僅僅是個開始。他指出:最終,滲透測試員工具箱中最重要的工具是 Word 和 Powerpint。
客戶要的是結果,滲透測試員技術有多高明無關緊要,滲透測試對客戶的價值是通過測試結果的有用程度和可執行程度體現的。滲透測試是深度技術評估,非技術人員未必總能理解其結果。
他補充道,幫助董事會理解測試發現的重要性,將測試結果映射至業務風險上,以及幫助客戶解決這些風險,才是真正的挑戰。在這方面,以攻擊路徑圖的圖形化方式呈現,往往比滿屏的服務器 shell 截圖有效得多。
專家們都用哪些工具?
攻擊安全專家們都用哪些小工具針對你的公司呢?HackerOne 技術項目經理 Niels Schweisshelm 解釋道:滲透測試員使用什么工具取決于評估的類型。
大多數滲透測試員會用 Burp Suite 執行 Web 應用滲透測試,Nmap 或 Masscan 則在基礎設施滲透測試中更為重要。無論什么類型的測試活動,滲透測試員都必須了解測試目標,能夠改造現有工具或撰寫新工具來適應測試需求。
Synopsys 的 van der Stock 補充道:面對這個問題,大部分人會給出自己最鐘愛的工具或套裝名稱,比如 “Burp Suite Pro” 或 “Kali”,但滲透測試工具包中最本質的部分是他們的腦子。
如果不具備攻擊思維,沒有任何工具幫得了你。第二重要的工具,是可供實操的脆弱應用,比如 OWASP Juice Shop 或任意數量的奪旗 (CTF) 虛擬機。滲透測試員可以使用這些脆弱系統磨礪在現實世界中極少有機會用到的技術。
最后,滲透測試員需謀劃作惡。濫用用例生成與驗證是滲透測試員的主要技術。如果滲透測試員認為自己的工作就是照看自動化工具和分類結果,那這工作就不僅是消磨精神,也不是真正的滲透測試,而僅僅是漏洞掃描了。現在找出的大多數高影響度漏洞極少是可自動化檢測和利用的。
OWASP Juice Shop: