多年來，滲透測試向來是確定一家公司的數(shù)字化基礎設施安全級別的主要手段。然而，如今有越來越多的安全專家在質疑滲透測試的有效性。

Infoblox公司歐洲、非洲和中東區(qū)的技術主管Chris Marrison著有博文《現(xiàn)在是不是該放棄滲透測試了?》，他對這個問題發(fā)表了個人觀點。Marrison說：“由于沒有一個防火墻百分之百有效地將攻擊者拒之門外，又由于網(wǎng)絡繼續(xù)日益龐大、形態(tài)發(fā)生變化，很顯然企業(yè)現(xiàn)在需要采用一種新的方法來保護其IT基礎設施。”

到底何謂滲透測試?

大多數(shù)數(shù)字取證和安全專業(yè)人員在其職業(yè)生涯的某個階段會用到美國系統(tǒng)網(wǎng)絡安全協(xié)會(SANS Institute)的滲透測試課程。知道了這一點，有必要看看SANS是如何定義滲透測試的。據(jù)SANS聲稱，滲透測試具有下列特點：

•模擬現(xiàn)實世界中的攻擊者的活動;

•找到目標系統(tǒng)中的安全漏洞;

•在受到控制的環(huán)境下利用已發(fā)現(xiàn)的安全漏洞;

•以一種安全的方式確定風險并記錄風險和潛在的業(yè)務影響，并且遵守約定的交戰(zhàn)規(guī)則。

•幫助企業(yè)確定資源的優(yōu)先級，從而改善安全狀況。

Marrison搬出理由

首先，Marrison指出，網(wǎng)絡攻擊已從到處炫耀的惡作劇演變成嚴重的、牟取錢財?shù)母呒壋掷m(xù)性威脅(APT)，不法分子更喜歡盡可能長時間地隱姓埋名。在Marrison看來這意味著，“安全團隊需要把注意力放在別處，不是放在什么威脅偷偷潛入到系統(tǒng)中，而是放在什么威脅導致信息外泄。”

據(jù)Marrison聲稱，滲透測試的可行性面臨的另一個問題是，缺少明顯的網(wǎng)絡邊界。由于數(shù)量激增的移動設備、云服務、物聯(lián)網(wǎng)設備以及Marrison所謂的影子IT，現(xiàn)在很難劃定公司與龐大互聯(lián)網(wǎng)之間的界線。Marrison說：“簡而言之，需要巡邏的柵欄里程越長，潛在的入口點越多，將攻擊者拒之門外就越困難。按道理講，這將意味著滲透測試現(xiàn)在比過去來得更重要，但是實際情況未必如此。”

來自內部的攻擊

攻擊者在誘使公司員工發(fā)起對外連接，從而避開邊界防御機制。兩種最流行的方法就是使用網(wǎng)絡釣魚電子郵件，或者欺騙員工訪問惡意網(wǎng)站。據(jù)Marrison聲稱，內部人員在公司的網(wǎng)絡邊界外面建立一條連接讓APT攻擊者得以趁虛而入。思科公司的《2014年年度安全報告》證實了Marrison的說法。報告聲稱：“大多數(shù)企業(yè)(無論規(guī)模大小)都已經(jīng)遭到了危及，卻渾然不知：思科分析的100%的企業(yè)網(wǎng)絡其流量傳輸?shù)綈阂廛浖摲木W(wǎng)站。”

Marrison說：“對IT安全團隊來說，現(xiàn)在可能更重要的是，找到行之有效的方法來監(jiān)控、發(fā)現(xiàn)、識別已經(jīng)潛入到網(wǎng)絡中的惡意軟件和威脅，并采取相應的補救措施，而不是將資源投入到滲透測試等措施上。”

測試滲透人員并不贊同

安全顧問兼講師Matthew J. Harmon也在講授滲透測試方面的SANS Institute課程。我聯(lián)系上了Harmon，請他談談滲透測試在對付網(wǎng)絡攻擊方面所起的作用。

Harmon表示，大多數(shù)APT攻擊利用了“可憐的安全衛(wèi)生”。至于這句話的意思，Harmon讓我參閱網(wǎng)絡安全委員會(Council on CyberSecurity)及其關鍵安全控制(Critical Security Controls)框架。該框架包括20種控制機制。SANS網(wǎng)站解釋：“這些控制源自最常見的攻擊模式，在政府和行業(yè)組成的廣泛社區(qū)得到了全面的審查，由此形成的一套控制機制得到了強烈的共識。它們?yōu)榱⒓床扇〉闹匾袆映洚斄嘶A。”最重要的前五項控制機制如下：

1. 清點授權設備和未授權設備;

2. 清點授權軟件和未授權軟件;

3. 保護移動設備、筆記本電腦、工作站和服務器上的軟硬件配置;

4. 持續(xù)不斷地評估及補救安全漏洞;

5. 惡意軟件防御。

不采用關鍵安全控制框架在Harmon看來是可憐的安全衛(wèi)生。Harmon還指出，上述控制機制是滲透測試的必要部分，另外他還給出了加強客戶網(wǎng)絡安全狀況的若干方法。Harmon在陳述理由時最后發(fā)表了這番高見：“滲透測試的主要目的是，搶在企業(yè)的安全部門檢測和響應之前，查明攻擊者能夠利用什么漏洞、泄密什么信息。”

混合方法才是最佳之道

我詢問了SANS講師、Rendition Infosec公司的負責人Jake Williams是否需要滲透測試。他同意Marrison的觀點：監(jiān)控和獲得可見性都很重要。Williams說：“但是，我不敢支持滲透測試不需要這一說法。你需要結合監(jiān)控和滲透測試的這樣一種混合方法。”

英文：determining whether penetration testing is effective