選擇***者的角色---***測試的起點
Jack zhai
***服務是爲了驗證漏洞的可被利用性,以及被利用的程度,即所能造成的威脅有多大。企業信息安全防禦體系面臨的***是多方面的,不僅有來自外部的***,而且有來自內部各類人員的竊取與篡改。如何選擇***的起點,模擬***者的角色很重要。
不同角色的人對信息防禦體系知悉的程度差異很大,瞭解得越多,繞過防禦措施越容易,***相對容易,花費時間也較少。
作爲一種商業安全服務,選擇不同的角色,意味着***難度的不同,工作量的不同,最終完成目標的***時間也就不同,***的效果也可能不同。
不衡量技術難度與工作量,就無法確定服務的商業價值,若一味追求低價政策,***服務商無法提供高水平的***人員參與,無法使用高技術含量、最新安全技術工具,***服務的質量就會大打折扣,從而無法驗證安全漏洞可帶來的威脅程度,也失去了***服務的意義。
一、按角色分類:
角色就是模擬***者的身份。確定角色,可以確定***者對目標網絡架構、安全體系、業務邏輯瞭解的程度,瞭解得越多,意味着越接近目標。
***的技術難度則主要看目標的安全防禦體系是否完善,一般來講,***內網業務服務器比互聯網上的服務器難度大,對防禦完善的系統***技術難度明顯加大。
根據***者的角色,***服務可以分爲:
1、 自由***:對被***者瞭解只限於從公衆信息媒體中瞭解到的,一般是從互聯網發起***。用戶對***服務也許沒有明確的目標,就是要檢驗自己防護系統的漏洞,***者可以篡改頁面,可以控制“肉雞”,也可以自己選擇目標服務器;
2、 普通用戶:作爲用戶業務的普通用戶,可以從互聯網,也可以從內網的一個終端發起***。對用戶網絡架構部分了解,對安全體系不瞭解,對用戶業務系統有所瞭解。用戶***目標明確,一般就是業務系統敏感信息竊取;
3、 網管人員:用戶內部的運維管理人員。一般從內網開始***,對網絡、安全機制都很熟悉。***服務的目標很明確,就是驗證安全監控體系是否可以察覺、是否可以取證內部人員的竊密行爲;
4、 管理人員:主管人員一般擁有網絡內部高級訪問權限,熟悉內部網絡與安全機制。***服務主要驗證內部安全審計措施是否完善,若對用戶業務流程有一定了解,可以驗證業務流程中的安全控制機制是否完善;
5、 第三方維護人員:外包運維服務是很多企業所採用的,作爲運維人員,對用戶內部的部分系統非常熟悉,如網絡維護者、安全維護者、業務系統維護者、服務器維護者、辦公系統維護者,正常情況下對其他系統並不熟悉,但他們有很多機會接觸到其他系統的維護人員,工作空間也可能是交叉的。***服務主要是驗證對第三方運維人員管理上的安全漏洞;
下表是不同***服務類型,在通常情況下的技術難度與工作量(若目標安全防禦體系完善時,技術難度應該提高一個等級):
|
|
目標 |
***渠道 |
用戶信息 |
技術難度 |
技術工作量 |
|
自由*** |
不明確 |
互聯網 |
不熟悉,通過Google/百度搜索信息 |
中 |
大 |
|
普通用戶 |
明確 |
內網/互聯網 |
部分熟悉 |
中 |
大 |
|
網管人員 |
明確 |
內網 |
熟悉 |
易 |
中 |
|
管理人員 |
明確 |
內網 |
熟悉 |
易 |
小 |
|
第三方維護 |
明確 |
內網/互聯網 |
部分熟悉 |
難 |
中 |
二、按***目標分類
影響***服務時間與效果的,不僅有***者的角色,而且還有***目標的類型,直接體現在***過程中的技術難度差異。
***服務的技術難度,與目標的位置有關,門戶網站直接暴露在互聯網上,而業務核心數據庫則在企業安全性最好的機房內部;與目標的種類有關,如Windows、Linux、專用系統等;與目標業務類型有關,如Ftp服務、Http服務、OA系統、數據庫等;與目標的安全防禦措施有關,如NAT地址隱藏、防火牆策略、×××認證、主機安全監控等。
1、 門戶網站:面對互聯網,從技術難度的角度排序應該是:頁面掛馬、網頁被篡改、服務器成“肉雞”、成爲***內部網絡的跳板;
2、 郵件系統:郵箱是信息通訊的必備工具,最爲突出的問題是郵箱密碼被破解;當然郵件服務器也是被***的目標;
3、 業務主機:業務處理服務器、資源下載服務器、DNS服務器等等,主機最擔心的是被人安裝***收集信息,或成爲“肉雞”;
4、 特定用途主機:可以是資料服務器,可以是某業務主管的個人電腦,***該主機爲了就是竊取敏感信息;
5、 業務系統:針對某業務系統的***,可以***業務服務器,或者數據庫服務器,也可以獲取該業務管理員的賬戶口令,或者是高級業務用戶登錄權限,其目的是下載業務數據、非授權操作業務流程、篡改特定業務數據等等;如電子商務計費系統、ERP系統、軟件版本管理服務器等;
6、 網絡或安全設備:針對網絡或安全設備的***不是很多,但危害很大,破譯密碼後,可以直接修改網絡路由與安全策略,讓後續的其他***工作順利通過;
7、 網絡基本服務系統:針對CA證書系統、DNS服務器、網管系統等的***,一般不爲用戶所關注,但這些維護網絡正常運轉的網絡服務系統一旦被***,影響面很大,可以在短時間內迅速成功***到其他各個業務系統或主機;
下表是不同***服務類型,在通常情況下的技術難度與工作量(若目標安全防禦體系完善時,技術難度應該提高一個等級):
|
|
工作量小 |
工作量中 |
工作量大 |
|
技術難度小 |
|
(網站)網頁掛馬
(網站)篡改網頁 |
|
|
技術難度中 |
|
郵箱***(郵件系統) |
業務系統
特定用途主機(終端) |
|
技術難度大 |
郵件系統主機 |
業務主機(***)
特定用途主機(服務器)
(網站)控制主機
網絡和安全設備 |
業務主機(肉雞)
業務主機(潛伏)
網絡基本服務系統 |