渗透测试的价值与未来发展前景
渗透测试自1967年开始就投入正式使用,并被实践证明为一种行之有效的安全测试机制。
E安全百科:
渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。
早在1965年的时候,电脑安全专家就提醒政府和企业,电脑在交换数据方面的能力越强大,窃取数据的情况就会越多。在1967年的计算机联合会议上,汇集了15,000多名计算机安全专家、政府和企业分析人员,他们认为当前计算机通信领域的主要挑战是,计算机通信线路可能被窃听、提出术语、弄清变化趋势。
RAND公司首先提出通过系统测试的办法保证网络安全的思路。RAND公司与美国的高级研究计划局ARPA合作,做了一个重要的报告,该报告被称作The Willis Report。这个报告讨论了安全问题,并提出了策略和技术上的对策,即便到现在,它也是安全解决方案的基础。
从这篇报告开始,政府和企业就开始联合起来,寻找计算机系统和网络里的漏洞,保护计算机系统不被恶意攻击和渗透。组成了一个被称作tiger teams的团队,测试计算机网络抵抗攻击的能力。许多系统被很快攻破。由RAND公司和政府实施的渗透测试说明了两个问题:第一,系统可以被渗透;第二,使用渗透测试的技术发现系统、网络、硬件和软件中的漏洞是很有意义的实践,需要进一步研究和发展。
James P. Anderson是渗透测试发展早期的先驱之一。他在1972年的报告中提出了一系列测试系统被渗透和攻击的可能性的具体步骤。Anderson的方法包括,首先寻找脆弱点,设计出攻击方法,然后寻找到攻击过程的弱点,找到对抗威胁的方法。这个基本方法至今仍在使用。
现在,安全专家Markus Robin着眼于未来提出了三项与渗透测试紧密相关的关键性要点:
1、频率与场景用例至关重要
“我们能够了解到自身何时遭受攻击。”Markus Robin在谈到渗透测试频度时总会面对这样的观点。“如果大家意识到,那么恐怕为时已晚。等待绝不是明智且有效的应对策略,特别是在与合规性监管相关的事务层面”,Robin总结称。渗透测试应当定期执行:在理想状态下,每年至少要进行一次,且在过程中充分考虑到具体攻击场景——例如新型攻击向量以及当前技术创新趋势。另外,DDoS基准测试则应当每季度进行一次。
2、引入强大方案:在能力层面保持对等
面对APT及专业网络犯罪分子,渗透测试本身显然无法解决全部问题——尽管已经能够解决大部分问题。最重要的是在能力层面保持对等,正如Robin所言:“很多企业会使用自动化测试方案,但最理想的作法应当是20%自动化与80%人工操作的结合体。企业需要具备能够解决相关测试结果的人员,否则渗透测试报告将失去实际意义。”企业应当考虑任命自己的安全专家,从而在异常情况下尽快作出反应。
3、在企业中全面引入必要文件
“企业已经意识到,安全性是一类需要以端到端方式进行考虑的需求,”Markus Robin指出。除了整理由合作伙伴或者供应商提供的安全性措施的相关必要说明文件,企业还应当关注立法层面的指导意见:欧盟范围内的数据保护法案于将于2018年5月25日起正式生效,这意味着每家企业都需要遵循并承担文件中的约定责任。“渗透测试当然不能单纯以文件的形式存在,毫无疑问,但文件仍然能够作为数据安全性与保护机制的重要证据,”Robin这样对其价值作出了强调。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。