每季度，我總是撥部分預(yù)算給安全評估，這是預(yù)算中至關(guān)重要的一環(huán)。我的安全評估重點常為主體設(shè)施，關(guān)鍵應(yīng)用評估，或是公司產(chǎn)品的機能滲透測試。而本季度，我決定雇傭一名電腦黑客。

故障通知單一家專營滲透測試的咨詢公司發(fā)現(xiàn)了不少漏洞。應(yīng)對方案就是修補漏洞，并重新編寫程序，然后查明為何安全團隊中無人發(fā)現(xiàn)可疑的威脅進程。

大體上而言，我認為公司已經(jīng)固若金湯，然而我亦明白，我們的基礎(chǔ)架構(gòu)仍不是100%的安全。內(nèi)部系統(tǒng)評估是找出漏洞的唯一方法，或者，還有一種更好的方法：雇一位黑客來為公司進行評估，抑或是至少雇傭一家專營滲透測試的咨詢公司來評估。

我的設(shè)想中，通過第三方的客觀評估，我們得到的信息更為全面。對于所雇傭的顧問，我只提一項要求：禁止攻擊阻斷式服務(wù)。雇傭其他的公司，我就能進行秘密測試，測試安全團隊對可疑進程的敏感程度；IT部門內(nèi)，只有極少數(shù)可信之人了解內(nèi)幕。這樣做還有一大好處，我們能及時發(fā)現(xiàn)漏洞，明確如何改良數(shù)據(jù)外泄防護方案，安全事件，甚至是為我們提供保護的事件管理系統(tǒng)。

對于那些顧問，除了一張待評估關(guān)鍵件應(yīng)用列表，我不提供多余詳細信息。我需要他們像一名黑客，或一個組織那樣，有目的性地攻擊公司漏洞。

2周后，我收到了報告，此次報告最大的發(fā)現(xiàn)，是揪出了一個外部DNS（域名系統(tǒng)）服務(wù)器，該服務(wù)器提供公司內(nèi)部地址空間的鏈接。此外，這個DNS服務(wù)器經(jīng)過配置，允許任何人轉(zhuǎn)載公司包括內(nèi)部基礎(chǔ)架構(gòu)圖，以及命名約定在內(nèi)的機密信息。一名黑客能夠通過這些信息，找到公司的內(nèi)網(wǎng)，攻擊重要目標。

還有一個問題浮出水面：通過一些漏洞，公司的基礎(chǔ)架構(gòu)有被越權(quán)存取的可能。在一項網(wǎng)絡(luò)應(yīng)用中，一位顧問發(fā)現(xiàn)了一處SQL資料隱碼漏洞，黑客能夠使用SQL語言詢問，獲得密碼，破壞公司應(yīng)用服務(wù)器上的系統(tǒng)賬戶。密碼的破譯僅僅需要6秒的時間。

密碼能用于登陸Microsoft Outlook 網(wǎng)絡(luò)訪問，之后，黑客/顧問就能夠使用應(yīng)用服務(wù)賬戶注冊。出于安全考慮，服務(wù)賬戶最好別捆綁郵箱地址。

無論如何，顧問能夠獲取整個公司的名冊，找出在郵件收發(fā)室的員工。取得該員工包括家庭住址，電話號碼，個人郵箱地址在內(nèi)的大量的信息，就如同他在網(wǎng)上所做的那樣。然后，他偽裝成該員工，向幫助臺求助（顧問能從公司官網(wǎng)找到幫助臺的電話號碼）。幫助臺的技術(shù)人員幾乎不驗證“用戶”身份，他們只會詢問“用戶”的辦公室分機號。顧問報上號碼后，技術(shù)人員毫不猶豫地重置“用戶”郵箱密碼，并提供一個臨時雙重認證密碼，顧問能憑其登陸員工VPN（虛擬私人網(wǎng)絡(luò)）。至此，黑客成功進入公司內(nèi)網(wǎng)，接觸所有公司應(yīng)用。

如你所想，我有一堆任務(wù)要完成。我們需要制定新幫助臺流程，以進行員工驗證，我們還需要重新配置DNS服務(wù)器，修補SQL資料隱碼漏洞，合并Microsoft Outlook網(wǎng)絡(luò)訪問的雙重身份認證，以及查驗服務(wù)賬戶。最后，我還需要查明一點：顧問/黑客的那些作為，為何我的安全團隊沒有一人發(fā)現(xiàn)？