如何确定渗透测试是否行之有效?

多年来，渗透测试向来是确定一家公司的数字化基础设施安全级别的主要手段。然而，如今有越来越多的安全专家在质疑渗透测试的有效性。

Infoblox公司欧洲、非洲和中东区的技术主管Chris Marrison著有博文《现在是不是该放弃渗透测试了?》，他对这个问题发表了个人观点。Marrison说：“由于没有一个防火墙百分之百有效地将攻击者拒之门外，又由于网络继续日益庞大、形态发生变化，很显然企业现在需要采用一种新的方法来保护其IT基础设施。”

到底何谓渗透测试?

大多数数字取证和安全专业人员在其职业生涯的某个阶段会用到美国系统网络安全协会(SANS Institute)的渗透测试课程。知道了这一点，有必要看看SANS是如何定义渗透测试的。据SANS声称，渗透测试具有下列特点：

•模拟现实世界中的攻击者的活动;

•找到目标系统中的安全漏洞;

•在受到控制的环境下利用已发现的安全漏洞;

•以一种安全的方式确定风险并记录风险和潜在的业务影响，并且遵守约定的交战规则。

•帮助企业确定资源的优先级，从而改善安全状况。

Marrison搬出理由

首先，Marrison指出，网络攻击已从到处炫耀的恶作剧演变成严重的、牟取钱财的高级持续性威胁(APT)，不法分子更喜欢尽可能长时间地隐姓埋名。在Marrison看来这意味着，“安全团队需要把注意力放在别处，不是放在什么威胁偷偷潜入到系统中，而是放在什么威胁导致信息外泄。”

据Marrison声称，渗透测试的可行性面临的另一个问题是，缺少明显的网络边界。由于数量激增的移动设备、云服务、物联网设备以及Marrison所谓的影子IT，现在很难划定公司与庞大互联网之间的界线。Marrison说：“简而言之，需要巡逻的栅栏里程越长，潜在的入口点越多，将攻击者拒之门外就越困难。按道理讲，这将意味着渗透测试现在比过去来得更重要，但是实际情况未必如此。”

来自内部的攻击

攻击者在诱使公司员工发起对外连接，从而避开边界防御机制。两种最流行的方法就是使用网络钓鱼电子邮件，或者欺骗员工访问恶意网站。据Marrison声称，内部人员在公司的网络边界外面建立一条连接让APT攻击者得以趁虚而入。思科公司的《2014年年度安全报告》证实了Marrison的说法。报告声称：“大多数企业(无论规模大小)都已经遭到了危及，却浑然不知：思科分析的100%的企业网络其流量传输到恶意软件潜伏的网站。”

Marrison说：“对IT安全团队来说，现在可能更重要的是，找到行之有效的方法来监控、发现、识别已经潜入到网络中的恶意软件和威胁，并采取相应的补救措施，而不是将资源投入到渗透测试等措施上。”

测试渗透人员并不赞同

安全顾问兼讲师Matthew J. Harmon也在讲授渗透测试方面的SANS Institute课程。我联系上了Harmon，请他谈谈渗透测试在对付网络攻击方面所起的作用。

Harmon表示，大多数APT攻击利用了“可怜的安全卫生”。至于这句话的意思，Harmon让我参阅网络安全委员会(Council on CyberSecurity)及其关键安全控制(Critical Security Controls)框架。该框架包括20种控制机制。SANS网站解释：“这些控制源自最常见的攻击模式，在政府和行业组成的广泛社区得到了全面的审查，由此形成的一套控制机制得到了强烈的共识。它们为立即采取的重要行动充当了基础。”最重要的前五项控制机制如下：

1. 清点授权设备和未授权设备;

2. 清点授权软件和未授权软件;

3. 保护移动设备、笔记本电脑、工作站和服务器上的软硬件配置;

4. 持续不断地评估及补救安全漏洞;

5. 恶意软件防御。

不采用关键安全控制框架在Harmon看来是可怜的安全卫生。Harmon还指出，上述控制机制是渗透测试的必要部分，另外他还给出了加强客户网络安全状况的若干方法。Harmon在陈述理由时最后发表了这番高见：“渗透测试的主要目的是，抢在企业的安全部门检测和响应之前，查明攻击者能够利用什么漏洞、泄密什么信息。”

混合方法才是最佳之道

我询问了SANS讲师、Rendition Infosec公司的负责人Jake Williams是否需要渗透测试。他同意Marrison的观点：监控和获得可见性都很重要。Williams说：“但是，我不敢支持渗透测试不需要这一说法。你需要结合监控和渗透测试的这样一种混合方法。”

英文：determining whether penetration testing is effective