1.3 漏洞评估、渗透测试和红队演习的局限性
在本节中,我们将讨论有关经典漏洞扫描、渗透测试和红队演习的一些误解和限制。现在让我们用简单的术语来理解这三个主题的实际含义及其局限性:
• 漏洞评估(VA):通过漏洞扫描程序识别系统、网络中的缺陷或安全漏洞。关于VA的一个误解是:它可以让你找到所有已知的漏洞。实际上这不是不可能。VA的限制包括只能发现潜在的漏洞,这往往取决于你使用的扫描程序类型,同时它还可能存在许多误报。对于一个业务负责人来说,没有人能确保哪些漏洞不会构成相关风险,以及攻击者将会优先利用哪些漏洞来获得访问权限。最后,VA的最大缺陷是假阴性,这意味着扫描程序会发现不了系统或应用程序中存在的安全问题。
• 渗透测试(pentesting):利用漏洞安全地模拟黑客攻击场景,不会对现有网络或业务产生太大影响。这种场景误报的数量较少,因为测试人员将会验证漏洞并尝试利用它们。渗透测试的一个限制是:它只能使用当前已知的、公开可用的漏洞,在大多数情况下,这些是渗透测试项目的重点。我们经常在评估期间听到渗透测试人员说:“耶!Root进去了!”但我们从未听到过这个问题:“你能用它做什么?”这可能是种种原因造成的,例如项目范围的约束,测试人员需要立即向客户报告高风险的问题,又或者客户只对网络的某一个段感兴趣并且只想测试该网段。
关于渗透测试的一个误解是,它为攻击者提供了网络的完整视图,一旦执行了渗透测试,网络就是安全的。事实并非如此,即使我们完成了对应用程序的安全加固,攻击者也能在业务流程中发现安全漏洞。
• 红队演习(RTE):重点评估组织防御网络威胁的有效性,通过任何可能的方式提高其安全性。在RTE期间,我们可以发现实现项目目标、场景的多种方法,例如完全覆盖具有已定义项目目标的活动,包括网络钓鱼(诱使受害者通过电子邮件输入敏感信息或下载恶意内容)、语音钓鱼(通过电话诱使受害者提供或执行一些具有恶意意图的操作)、WhatsApping(通过WhatsApp社交软件吸引受害者实现恶意意图)、无线测试、移动磁盘入侵(USB和SSD)和物理渗透测试。RTE的局限性是有时间限制,方案是预定义的,且在非真实的环境下开展。通常,RTE确保每种技术都能在完全监控的模式下运行,并且根据既定的程序执行策略,但是当真正的攻击者想要达到目标时,情况并非如此。
图1.1显示了这3种活动在深度和广度方面的差异。
通常,这3种不同的测试方法都涉及术语“黑客攻击”或“入侵”。我们将破解你的网络并向你展示网络的脆弱点,但是客户或业务负责人是否理解这些专业术语之间的区别?应该如何衡量它们?标准是什么?什么时候知道黑客攻击已经完成?所有的问题都指向测试的目的是什么,以及我们心中的主要目标是什么。
图1.1 评估系统脆弱性的3种方法及其广度和深度