滲透測(cè)試與PCI DSS的關(guān)系

PCI（Payment Card Industry）中文全稱為：支付卡產(chǎn)業(yè)。在這個(gè)產(chǎn)業(yè)里存在一個(gè)標(biāo)準(zhǔn)組織，稱為--支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)，英文簡(jiǎn)寫為PCI SSC（Payment Card Industry Security Standards Council）。PCI安全標(biāo)準(zhǔn)委員會(huì)是由國(guó)際知名的五家支付品牌共同建立而成，他們是美國(guó)運(yùn)通（American Express）、美國(guó)發(fā)現(xiàn)金融服務(wù)公司（Discover Financial Services）、JCB、全球萬(wàn)事達(dá)卡組織（MasterCard）及Visa國(guó)際組織。PCI SSC一共維護(hù)了三個(gè)安全標(biāo)準(zhǔn)：PCI DSS（Payment Card Industry Data Security Standard 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）、PCI PA-DSS（Payment Card Industry Payments Application Data Security Standard支付卡行業(yè)支付應(yīng)用數(shù)據(jù)安全標(biāo)準(zhǔn)）以及PTS（PIN Transaction Security PIN傳輸安全標(biāo)準(zhǔn)）。從下圖可以很清楚的反應(yīng)這三個(gè)標(biāo)準(zhǔn)之間的關(guān)系。

無(wú)論是PTS還是PCI PA DSS，其最根本的目的是為了使最終的客戶能夠滿足PCI DSS的要求。（關(guān)于PTS和PA DSS更多的介紹可參見(jiàn)PCI官方網(wǎng)站www.pcisecuritystandards.org和atsec官方網(wǎng)站www.atsec-information-security.cn）。

在PCI DSS第 11.3中有這樣的要求“ Perform external and internal penetration testing at least once a year and after any significant infrastructure or application upgrade or modification (such as an operating system upgrade, a sub-network added to the environment, or a web server added to the environment). These penetration tests must include the following： Network-layer penetration tests and Application-layer penetration tests”其轉(zhuǎn)譯中文意思是：至少每年或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級(jí)或修改后（例如操作系統(tǒng)升級(jí)、環(huán)境中添加子網(wǎng)絡(luò)或環(huán)境中添加網(wǎng)絡(luò)服務(wù)器）都需要執(zhí)行內(nèi)部和外部基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測(cè)試。

什么是滲透測(cè)試

滲透測(cè)試是通過(guò)模擬來(lái)自惡意的黑客或者駭客攻擊，以評(píng)估計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)環(huán)境安全性的活動(dòng)。從滲透測(cè)試的定義我們能夠清楚的了解到滲透測(cè)試它是一項(xiàng)模擬的活動(dòng)，主要的目的是進(jìn)行安全性的評(píng)估，而不是摧毀或者破壞目標(biāo)系統(tǒng)。

從下圖我們可以看到，滲透測(cè)試與網(wǎng)絡(luò)掃描，脆弱性掃描，安全掃描和安全審計(jì)其實(shí)并不相同。滲透測(cè)試是介于安全掃描和安全審計(jì)之間，它并不是純粹的掃描工作，但是它執(zhí)行的深度又沒(méi)有安全審計(jì)那么深入。滲透測(cè)試是從攻擊者的角度，試圖通過(guò)各種技術(shù)手段或者社交手段去發(fā)現(xiàn)和挖掘系統(tǒng)的漏洞，最終達(dá)到獲取系統(tǒng)最高權(quán)限的目的。無(wú)論是從測(cè)試的覆蓋面和測(cè)試的深度來(lái)看，滲透測(cè)試都要比網(wǎng)絡(luò)掃描，脆弱性掃描和安全掃描更為深入。

滲透測(cè)試的目的

對(duì)于滲透測(cè)試而言，除了滿足某些特定標(biāo)準(zhǔn)（如PCI DSS）的要求之外，滲透測(cè)試還會(huì)有如下的好處：

識(shí)別和發(fā)現(xiàn)機(jī)構(gòu)可能被攻擊的薄弱環(huán)節(jié)

通過(guò)外部獨(dú)立的第三方評(píng)估機(jī)構(gòu)的安全評(píng)估提高客戶自身的安全級(jí)別和降低安全風(fēng)險(xiǎn)

提高人員對(duì)于信息安全的意識(shí)

滲透測(cè)試的方法論和業(yè)界參考實(shí)踐

對(duì)于任何測(cè)試而言，都會(huì)相應(yīng)的測(cè)試方法或者規(guī)則。在滲透測(cè)試領(lǐng)域，業(yè)界的滲透測(cè)試方法論或者最佳實(shí)踐可以作為一個(gè)很好的參考，但是測(cè)試人員在測(cè)試過(guò)程當(dāng)中更多的是依靠自身的能力和經(jīng)驗(yàn)去完成測(cè)試工作，因?yàn)樵跍y(cè)試過(guò)程當(dāng)中可能會(huì)遇到各種各樣的問(wèn)題。下面是行業(yè)中被廣泛接受的測(cè)試方法或者滲透測(cè)試的最佳實(shí)踐：

OWASP（Open Web Application Security Project）Testing Guide——關(guān)注在web應(yīng)用安全測(cè)試的測(cè)試指導(dǎo)。該測(cè)試指導(dǎo)涵蓋了web應(yīng)用程序大部分功能點(diǎn)的安全性測(cè)試，測(cè)試指導(dǎo)同時(shí)會(huì)給出一些測(cè)試的實(shí)例進(jìn)行簡(jiǎn)單的說(shuō)明。

OSSTMM（Open Source Security Testing Methodology Manual） -- 開放源代碼安全測(cè)試方法手冊(cè)。OSSTMM是一個(gè)關(guān)注在安全測(cè)試和評(píng)價(jià)的方法論。OSSTMM的測(cè)試用例分為五個(gè)方面：信息和數(shù)據(jù)控制；人員安全意識(shí)水平；欺詐和社會(huì)工程學(xué)控制水平；計(jì)算機(jī)和電信網(wǎng)絡(luò)，無(wú)線設(shè)備，移動(dòng)設(shè)備以及物理安全訪問(wèn)控制；安全流程，如建筑物，周邊環(huán)境，以及軍事基地的物理位置等安全流程。

Special Publication 800-115 Technical Guide to Information Security Testing and Assessment – 美國(guó)NIST發(fā)布的針對(duì)信息安全測(cè)試和評(píng)估的技術(shù)指導(dǎo)

ISSAF（Information Systems Security Assessment Framework）-- 關(guān)注在信息系統(tǒng)安全評(píng)估的框架

Penetration Testing Framework -- 滲透測(cè)試的框架，該測(cè)試框架是滲透測(cè)試實(shí)踐的操作總結(jié)，它非常詳細(xì)的描述了滲透測(cè)試過(guò)程當(dāng)中每一步應(yīng)該做什么，怎么去做。該份測(cè)試的框架對(duì)于滲透測(cè)試的實(shí)際操作有著非常好的參考價(jià)值。#p#

滲透測(cè)試的流程

對(duì)于滲透測(cè)試，其流程大體包括：測(cè)試協(xié)議和方法確定，免責(zé)條款簽署，信息收集，脆弱性分析，對(duì)脆弱性進(jìn)行滲透和利用，權(quán)限提升，最終評(píng)估和報(bào)告編寫以及客戶根據(jù)滲透測(cè)試發(fā)現(xiàn)問(wèn)題的整改和追蹤等環(huán)節(jié)。以下是對(duì)于上述各個(gè)環(huán)節(jié)的簡(jiǎn)要介紹：

滲透測(cè)試與惡意黑客的攻擊最大的區(qū)別就是：惡意黑客為了獲得想要的信息可以不計(jì)后果對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊測(cè)試，而滲透測(cè)試人員的所執(zhí)行的測(cè)試活動(dòng)是需要在特定的測(cè)試協(xié)議下執(zhí)行的。因此在正式執(zhí)行滲透測(cè)試之前，明確測(cè)試協(xié)議與測(cè)試方法是最重要的工作，測(cè)試協(xié)議與測(cè)試方法是后續(xù)測(cè)試人員開展?jié)B透測(cè)試的參照標(biāo)準(zhǔn)。對(duì)于滲透測(cè)試協(xié)議和方法的確定，下述圖示展示了atsec結(jié)合了前文所提及的方法論和業(yè)界參考實(shí)踐的經(jīng)驗(yàn)總結(jié)。

在滲透測(cè)試中，根據(jù)客戶提供信息的多少，我們可以人為的將滲透測(cè)試分為黑盒測(cè)試和白盒測(cè)試。所謂的黑盒測(cè)試是客戶盡可能少的給測(cè)試人員提供測(cè)試目標(biāo)的信息，測(cè)試人員在不了解目標(biāo)系統(tǒng)的情況下展開測(cè)試。白盒測(cè)試是測(cè)試人員在完全了解系統(tǒng)的設(shè)計(jì)和架構(gòu)或者網(wǎng)絡(luò)配置的情況下對(duì)目標(biāo)進(jìn)行滲透，以確保所有安全問(wèn)題都被發(fā)現(xiàn)了。

從測(cè)試人員測(cè)試活動(dòng)的攻擊性的角度評(píng)價(jià)，可以將滲透測(cè)試劃分成四種情況：

被動(dòng)的測(cè)試活動(dòng)，在此種情況下測(cè)試人員不會(huì)主動(dòng)向目標(biāo)系統(tǒng)發(fā)送攻擊指令，測(cè)試人員通常會(huì)執(zhí)行信息捕獲的工作。

謹(jǐn)慎的測(cè)試活動(dòng)，在此種情況下測(cè)試人員通常會(huì)對(duì)目標(biāo)系統(tǒng)執(zhí)行嗅探工作并根據(jù)嗅探獲得的漏洞進(jìn)行分析和評(píng)估。

審議的測(cè)試活動(dòng)，在此種情況下測(cè)試人員通常會(huì)將發(fā)現(xiàn)的漏洞信息與客戶進(jìn)行討論，以明確哪些漏洞在測(cè)試過(guò)程當(dāng)中需要執(zhí)行實(shí)際的漏洞驗(yàn)證和利用。

具有侵略性的測(cè)試活動(dòng)，在此種情況下測(cè)試人員通常會(huì)根據(jù)所發(fā)現(xiàn)的漏洞信息進(jìn)行逐個(gè)驗(yàn)證，此時(shí)測(cè)試人員考慮更多的是如何最大限度獲得目標(biāo)系統(tǒng)的系統(tǒng)權(quán)限或者獲得目標(biāo)系統(tǒng)上存儲(chǔ)的信息。

從測(cè)試范圍的選擇，客戶可以指定整體網(wǎng)絡(luò)環(huán)境的系統(tǒng)組件，或者是部分的網(wǎng)絡(luò)環(huán)境的系統(tǒng)組件，又或者是對(duì)于特定的目標(biāo)系統(tǒng)進(jìn)行測(cè)試。

對(duì)于測(cè)試人員在測(cè)試過(guò)程當(dāng)中的活動(dòng)，客戶可以要求測(cè)試人員隱秘的執(zhí)行滲透測(cè)試活動(dòng)，又或者明確測(cè)試人員并不需要隱藏測(cè)試活動(dòng)可以公開執(zhí)行滲透測(cè)試工作。

在滲透測(cè)試活動(dòng)中，客戶可以要求測(cè)試人員對(duì)如下方面執(zhí)行滲透測(cè)試工作：對(duì)互聯(lián)網(wǎng)絡(luò)執(zhí)行滲透（如互聯(lián)網(wǎng)上的web服務(wù)器，數(shù)據(jù)庫(kù)服務(wù)器，網(wǎng)絡(luò)設(shè)備等等）；對(duì)通訊執(zhí)行滲透測(cè)試（如PSTN網(wǎng)絡(luò)，電信網(wǎng)絡(luò)，3G網(wǎng)絡(luò)等方面）；對(duì)物理安全執(zhí)行滲透測(cè)試（如目標(biāo)系統(tǒng)的物理防護(hù)，電磁輻射等方面）；執(zhí)行社會(huì)工程學(xué)測(cè)試（主要是為了測(cè)試員工的安全意識(shí)）。

在測(cè)試方法設(shè)定的時(shí)候，客戶還可以要求測(cè)試人員以外網(wǎng)或者內(nèi)網(wǎng)作為滲透測(cè)試活動(dòng)的出發(fā)點(diǎn)。

在確定測(cè)試協(xié)議和方法之后，測(cè)試人員通常會(huì)要求客戶出具一份滲透測(cè)試的免責(zé)聲明，該聲明中會(huì)明確聲明測(cè)試人員不需要為測(cè)試過(guò)程中產(chǎn)生的任何風(fēng)險(xiǎn)承擔(dān)法律責(zé)任。這份免責(zé)聲明，對(duì)于滲透測(cè)試人員而言是很好的法律保護(hù)，因?yàn)槿魏蔚臏y(cè)試活動(dòng)都不可能百分之百安全，在某些測(cè)試過(guò)程（如對(duì)漏洞進(jìn)行滲透和利用）當(dāng)中難免會(huì)存在一些安全風(fēng)險(xiǎn)，如果沒(méi)有此份聲明測(cè)試人員迫于法律的限制不可能完成后續(xù)的測(cè)試工作。

當(dāng)完成上述兩個(gè)準(zhǔn)備階段的工作之后，測(cè)試人員通常會(huì)進(jìn)入非常重要和關(guān)鍵的一個(gè)環(huán)節(jié)----信息收集。在信息收集過(guò)程當(dāng)中包括但不限于以下信息：IP地址信息，關(guān)聯(lián)域名信息，域名聯(lián)系人信息，DNS服務(wù)器信息，郵件服務(wù)器信息，IP地址段路由信息，和目標(biāo)系統(tǒng)相關(guān)的人員信息收集，目標(biāo)系統(tǒng)漏洞信息，或者通過(guò)社會(huì)工程學(xué)從相關(guān)人員口中套取有用的信息等等。信息收集是一門比較高深的學(xué)科，如果信息收集得很好，很多時(shí)候都不需要使用技術(shù)手段對(duì)系統(tǒng)漏洞進(jìn)行滲透利用都能獲得系統(tǒng)的權(quán)限。#p#

對(duì)于滲透測(cè)試而言，雖然它是一項(xiàng)通過(guò)模擬黑客或者駭客的攻擊以評(píng)估系統(tǒng)或者網(wǎng)絡(luò)環(huán)境安全性的活動(dòng)，但是滲透測(cè)試比真實(shí)生活當(dāng)中的攻擊行為有著更多的限制。滲透測(cè)試并不以摧毀或者破壞系統(tǒng)的可用性為目的。在滲透測(cè)試過(guò)程當(dāng)中，我們需要最大限度的保證客戶業(yè)務(wù)的正常運(yùn)轉(zhuǎn)（當(dāng)然客戶的特殊要求除外），在這個(gè)前提下 盡最大可能發(fā)現(xiàn)和挖掘目標(biāo)系統(tǒng)的脆弱性并進(jìn)行利用。因此，在進(jìn)行真正滲透之前，我們通常需要對(duì)發(fā)現(xiàn)的脆弱性進(jìn)行分析，分析和評(píng)估該脆弱性可能會(huì)對(duì)目標(biāo)系統(tǒng)造成的影響，并制定相應(yīng)的應(yīng)急預(yù)案。對(duì)于脆弱性的分析通常會(huì)借助外部的脆弱性掃描工具如Nessus，QualysGuard ，WebInspect或者是Nikto2等等進(jìn)行脆弱性的發(fā)現(xiàn)和識(shí)別，測(cè)試人員會(huì)根據(jù)所發(fā)現(xiàn)脆弱性的類型，CVE（Common Vulnerabilities and Exposures）依據(jù)CVSS（Common Vulnerability Scoring System）對(duì)于脆弱性的評(píng)分，客戶被測(cè)目標(biāo)系統(tǒng)所處的實(shí)際環(huán)境等因素進(jìn)行綜合考慮以進(jìn)一步對(duì)脆弱性進(jìn)行分析。在PCI DSS第11.2中要求客戶需要每個(gè)季度或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級(jí)或修改后（例如操作系統(tǒng)升級(jí)、環(huán)境中添加子網(wǎng)絡(luò)或環(huán)境中添加網(wǎng)絡(luò)服務(wù)器）都需要執(zhí)行內(nèi)部和外部脆弱性掃描。外部 脆弱性掃描是需要由PCI SSC授權(quán)的掃描服務(wù)提供商執(zhí)行，業(yè)界的術(shù)語(yǔ)叫做ASV（Approved Scanning Vendors）。目前PCI DSS對(duì)于外部脆弱性掃描活動(dòng)不僅僅要求需要由ASV開展，對(duì)于實(shí)際執(zhí)行脆弱性掃描的人員也需要經(jīng)由PCI SSC進(jìn)行培訓(xùn)，考核并獲得相應(yīng)資質(zhì)證書之后才能出具具有資格的掃描報(bào)告。在滲透測(cè)試脆弱性分析的階段，測(cè)試人員可以參考客戶提供最近的ASV掃描報(bào)告作為脆弱性分析的輸入數(shù)據(jù)。

在完成對(duì)脆弱性分析之后，測(cè)試人員會(huì)根據(jù)與客戶之間的滲透測(cè)試方法和協(xié)議進(jìn)一步對(duì)脆弱性進(jìn)行滲透或者利用。在測(cè)試過(guò)程當(dāng)中，滲透測(cè)試人員可能在初次攻擊完成之后獲得了有限的權(quán)限，此時(shí)滲透測(cè)試方法和協(xié)議則是測(cè)試人員最好的參考。如果客戶允許執(zhí)行進(jìn)一步的權(quán)限提升操作，測(cè)試人員則可能會(huì)嘗試將以獲得的權(quán)限提升至管理員級(jí)別或者系統(tǒng)級(jí)別的權(quán)限。

在完成對(duì)脆弱性的滲透和利用之后，測(cè)試人員會(huì)對(duì)滲透的結(jié)果進(jìn)行評(píng)估和判斷，以確定脆弱性的可利用價(jià)值，同時(shí)滲透測(cè)試的過(guò)程以及測(cè)試過(guò)程中發(fā)現(xiàn)信息將會(huì)被編寫到最終的滲透測(cè)試報(bào)告當(dāng)中。對(duì)于在滲透測(cè)試過(guò)程當(dāng)中，由于特定的原因（如客戶的要求，漏洞利用條件的限制等等）導(dǎo)致脆弱性并沒(méi)有被實(shí)際測(cè)試，測(cè)試人員將會(huì)在報(bào)告當(dāng)中描述惡意人員可能對(duì)該脆弱性使用的攻擊方法以及該脆弱性被成功利用后可能帶來(lái)的安全風(fēng)險(xiǎn)。

客戶根據(jù)滲透測(cè)試報(bào)告中所發(fā)現(xiàn)的脆弱性以及測(cè)試人員提供的解決方法進(jìn)行脆弱性修復(fù)。對(duì)于完整的滲透測(cè)試流程通常還會(huì)包含對(duì)修復(fù)后的脆弱性進(jìn)行驗(yàn)證測(cè)試，從第三方的角度去評(píng)估脆弱性修復(fù)的有效性。

基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測(cè)試

對(duì)于PCI DSS第 11.3中有要求至少每年或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級(jí)或修改后需要執(zhí)行內(nèi)部和外部基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測(cè)試。何為應(yīng)用層滲透測(cè)試？何為網(wǎng)絡(luò)層滲透測(cè)試呢？應(yīng)用層滲透測(cè)試指的是對(duì)web應(yīng)用程序進(jìn)行滲透測(cè)試，測(cè)試要求覆蓋OWASP Top 10（OWASP項(xiàng)目組會(huì)周期性的根據(jù)OWASP聯(lián)盟中應(yīng)用開發(fā)和測(cè)試專家反饋的結(jié)果定期對(duì)web應(yīng)用面臨的安全問(wèn)題進(jìn)行統(tǒng)計(jì)和排名，Top 10是web應(yīng)用程序前10名影響最大的脆弱性）中的所有安全問(wèn)題。對(duì)于網(wǎng)絡(luò)層的滲透測(cè)試，通常是指對(duì)操作系統(tǒng)，網(wǎng)絡(luò)設(shè)備等系統(tǒng)組件進(jìn)行系統(tǒng)級(jí)別的滲透測(cè)試。

下圖是2007年和2010年OWASP Top 10的排名對(duì)比。從圖中可以看到Top 10的內(nèi)容在這兩年的評(píng)估當(dāng)中出現(xiàn)了變化。所以在滲透測(cè)試過(guò)程當(dāng)中我們除了參照PCI DSS的要求之外，還需要參照OWASP最新的關(guān)于Top 10的排名情況。

怎樣選擇合適的滲透測(cè)試合作機(jī)構(gòu)

前面介紹了很多關(guān)于滲透測(cè)試介紹，以及測(cè)試流程和方法，然而我們?cè)趯?shí)際執(zhí)行滲透測(cè)試工作的時(shí)候，應(yīng)該如何選擇合適的滲透測(cè)試實(shí)驗(yàn)室或者滲透測(cè)試人員進(jìn)行測(cè)試工作呢？對(duì)于滲透測(cè)試人員的選擇，PCI DSS在第11.3的要求：測(cè)試人員可以是內(nèi)部具有能力且獨(dú)立的內(nèi)部人員或者外部合格的第三方評(píng)測(cè)機(jī)構(gòu)。對(duì)于內(nèi)部人員的選擇，技術(shù)能力的考慮和測(cè)試人員的獨(dú)立性是最為重要的因素。對(duì)于第三方的評(píng)測(cè)機(jī)構(gòu)的選擇，除了技術(shù)水平的考慮，以下的參考因素能夠?yàn)榭蛻粼跐B透測(cè)試過(guò)程當(dāng)中可能會(huì)面臨的安全風(fēng)險(xiǎn)提供很好的安全保障。

專一性，IT安全是否是該公司的主營(yíng)的業(yè)務(wù)？

該公司自身是否切實(shí)執(zhí)行IT安全流程？

評(píng)估機(jī)構(gòu)和他們員工是否具有相關(guān)的資質(zhì)？

該評(píng)估機(jī)構(gòu)是否為行業(yè)的領(lǐng)導(dǎo)者，幫助或者能夠分享相關(guān)的標(biāo)準(zhǔn)信息？

該機(jī)構(gòu)是否具有相關(guān)的成功項(xiàng)目經(jīng)驗(yàn)？

該評(píng)估機(jī)構(gòu)是否能夠提供除滲透測(cè)試以外其他能夠提高客戶流程等有價(jià)值的服務(wù)？

該評(píng)估機(jī)構(gòu)是否能夠在很多不同的技術(shù)領(lǐng)域提供專業(yè)知識(shí)和經(jīng)驗(yàn)？

評(píng)估機(jī)構(gòu)安全評(píng)測(cè)的獨(dú)立性，是否能夠?yàn)榭蛻籼峁┑谌姜?dú)立的不帶任何偏見(jiàn)的評(píng)估報(bào)告？

該評(píng)估機(jī)構(gòu)是否為客戶提供足夠的保險(xiǎn)和合理的法律協(xié)議保障？

誰(shuí)是該評(píng)估機(jī)構(gòu)的服務(wù)客戶？

【編輯推薦】

1. 主賬號(hào)截?cái)鄬?duì)支付卡行業(yè)影響幾何
2. IronPort幫助零售商符合支付卡行業(yè)標(biāo)準(zhǔn)
3. RSA enVision解決方案平臺(tái)幫助支付卡行業(yè)實(shí)現(xiàn)法規(guī)遵從
4. 2011回顧：新環(huán)境下網(wǎng)絡(luò)安全令人堪憂
5. 安全觀點(diǎn)：DDOS有待手術(shù)式清洗