即便是準備最為充分的公司在應對網絡安全挑戰時也會感到氣餒。正如道德黑客JamieWoodruff在“活力數字未來”大會上所做演示時所言,“你最弱的員工決定了你的基礎設施的強度。從入侵、破解到社交工程,公司中每名團隊成員都屬于需要管理的風險。”
安全測試公司CAVeracode的EMEA解決方案架構師經理PaulFarrington指出,《2017年軟件安全狀況報告》顯示,77%的應用在初步掃描時會至少有一個漏洞,因此谷歌和蘋果等大型公司都設立了自己的漏洞發現獎勵制度,雇用或是鼓勵道德黑客查找他們軟件應用中的漏洞也就不足為奇了。
像Woodruff這樣的道德黑客或滲透測試者能夠與公司合作查找陷阱和潛在問題,進行滲透測試并幫助保護公司和公司數據的安全。由于網絡安全技能的差距和人才短缺正在持續影響這一領域,因此将外部技能引入到測試系統中具有重大意義。
對滲透測試者的需求正持續增長
ISACA的《2017年網絡安全狀況報告》顯示,盡管三分之一的受訪者稱他們的企業收到了10多名報名者對這一空缺職位的申請,但是其中64%的受訪者表示隻有不到半數的報名者符合條件。報告還指出,即便是技能熟練的人,“在被雇用後也需要時間和培訓才能達到企業已有人員的水平并勝任他們的工作。”
随着對這些技能的需求持續增長以及公司開始重視雇用滲透測試者,整個行業正在努力提升這一領域的聲譽,因為之前他們的聲譽一直不是很好。道德黑客這一術語本身就存在問題,其中含有負面的含義,尤其是在其發展曆史上。曾經被稱為白帽黑客的人如今更喜歡被稱為滲透測試者,其認證和資格評審也正日益規範。
RiskSense的首席技術官DannyQuist博士稱:“我的首個滲透測試團隊(紅隊)過去并不承認他們的存在。這種情況正在快速發生變化。如今成為一名黑客需要有天生的好奇心和學習能力。”他還補充道,專業的訓練讓成長之路變得更加容易。如今這些專業訓練已經有了充足的可用資源,其中包括YouTube視頻、相關書籍和當地的Defcon/2600小組。Quist說:“特許學校的黑客培養正在從孩子抓起。軍隊則直接從高中征召人員并将他們培訓成黑客。如今已經有了相關的資格認證和培訓方案,大學也開設了相關的專業。”
CREST是一家代表技術信息安全行業的非營利認證機構。他們為從事滲透測試、網絡事件響應和威脅情報服務的機構和個人提供國際承認的資格認證。
CREST總裁IanGlover說:“我們引入了專業級的資格認證。這些資格認證已經得到了行業、政府、雇主和個人的承認,等級從基礎入門級到專家級以及10000小時級甚至更高級都有。”
CREST強調所有的會員公司都要接受定期的嚴格評估。獲得CREST資格認證的個人必須要通過嚴格的考試以證明自己的學識、技能和工作能力。CREST由經驗豐富的安全專家組成的執行委員會管理,這些專家還将促進網絡安全市場中的意識、道德與标準的發展。
Glover還補充道,雖然全球不同地區正在使用不同的解決辦法,但是實現行業專業化的推動力十分強勁。CREST将有助于在東南亞地區實現許可證制度和建立滲透标準。他說:“在新加坡,他們将要實施這些。如果你正在從事滲透測試工作但沒有獲得批準,那麼你可能面臨兩年的監禁和50000美元的罰款。”
作為CREST會員企業的ContextInformationSecurity的部門主管OwenWright說,他們的目标是讓公司的咨詢人員都獲得CREST的相關資格證書,這需要很高的學識與技術水平。如果要訪問受保護的重要信息和資産,任何外部咨詢人員都必須要獲得安全許可,至少要是安檢(SC)級許可。
他解釋說,公司使用道德黑客進行滲透測試以識别IT系統漏洞的力度正在增加。一旦突破,滲透測試者通常會進一步利用漏洞并嘗試提升權限以徹底查明風險的等級。
Wright說:“‘紅隊’測試會模拟公司遇到的真實攻擊以評估公司安全防護的有效性。”這通常包括觀察人員和程序以查看他們在面對真實攻擊時是如何應對的。
Wright将這比作消防演練。每個人都知道在火警響起時需要撤離建築物并清楚最安全的逃生路線。消防演練會發現大門被上鎖、消防水龍頭缺失或不起作用等問題。他說:“通過找出漏洞、發現安全策略與執行之間的差距以及最終的風險管理,滲透測試能夠提供與真實攻擊相同的體驗。”
技術信息随後必須要轉化為商業情報。FarrPoint公司的網絡安全顧問DanBrown說,道德黑客已經從純粹的技術角色轉變為了與業務持續性和技術漏洞風險息息相關的角色。在過去十年裡,他發現這一角色已經越來越受歡迎。
“公司經常發現他們将這些純技術性的報告轉換為他們能夠看懂的風險,就像他們應對的其他業務風險那樣易懂是一項艱巨的挑戰。滲透測試者将與網絡安全顧問共同工作以将這些風險轉換為他們熟悉的商業指标。”
滲透測試的四大關鍵驅動力
SecureData公司首席安全策略官CharlvanderWalt指出了滲透測試的四大關鍵驅動力。首先是檢驗盒。許多客戶因為合規性的原因被迫展開滲透測試,這導緻經常出現被迫采購,客戶幾乎沒有合作,沒有學習動力,也沒有意願去修補已發現的問題。他說:“這類測試經常無法避免,但是合規性絕對不是一個展開滲透測試的好理由。”
第二個關鍵驅動力被vanderWalt稱之為“新頭盔”。他指出這和一段YouTube視頻中小男孩拿到新自行車頭盔後立即戴上它以跑步方式高速向牆上撞以測試頭盔的性能如出一轍。想知道它們是否會起作用,那麼最好的方式就是戴上進行測試。
“即便是最世故的IT操作部門中也有像視頻中的小男孩這樣的員工。為這些風險、漏洞和威脅管理投入了大量時間和資金的人想知道,他們真的很想知道自己将如何抵禦一個集中攻擊以及經曆整個考驗是一種什麼感覺。這是一種原始的心理驅動力,雖然難以獲得預算但是會立即吸引具有好奇心的員工和公司。”
他解釋說,這一價值體現在情緒和管理上。“在滲透測試期間向首席技術官展示首席執行官電子郵箱收件箱中洩露出來的郵件副本,那麼随後關于信息安全的所有讨論都會換上另一副完全不同的語調。對于那些試圖說服董事會或管理者讓他們重視安全性的首席信息安全官來說,這是一個非常有說服力的示例。”
vanderWalt說,漏洞發現獎勵為第三個驅動力。許多成熟的公司,尤其是那些自己開發軟件的公司已經把對新代碼版本進行滲透測試作為公司的策略。明确攻擊範圍、設置具體目标、安排測試者輪流實施、記錄和追蹤發現的漏洞等機制已經被明确制定并被嚴格執行。
vanderWalt說:“有意思的是在這類測試中,測試者的主要價值并不是某一種技能或學識,而是一種視角。即以攻擊者的思維和行為方式進行訓練、引導和激勵,而不是站在建設者的視角上。客戶自己的員工很少會站在這種視角上進行評估。”
最後一種是Wright提出的戰争遊戲,也是最有趣的。VanderWalt說,盡管這一套通常出現在軍隊和政府當中,但是它們已經逐漸被商業世界所接受。
他說:“我們作為公司也喜歡這種測試,不光是因為這非常有趣,更因為我們可以自由地模拟真實的對手,而不是面對政府或行業标準以及其他的行業測試者。”
道德黑客相當于便宜的保險
《SANS網絡戰網絡城市》作者兼美國系統網絡安全協會(SANSInstitute)“SEC560:網絡滲透測試與道德黑客”課程首席教官EdSkoudis說,通過發現程序、技術和安全感知中的瑕疵,道德黑客能夠根據實際問題而非理論上的漏洞給出切實的建議。他說:“通過這種方式,道德黑客能夠幫助組織機構分配稀缺資源以便更為有效地展開網絡防禦。”
Skoudis表示,從道德黑客或滲透測試者那裡獲取最有價值的東西的關鍵,在于找到既擁有出色技術又能知道如何為公司提供價值的人才。他強調說:“将這些領域融會貫通至關重要。”在技術層面上,道德黑客應當能夠模拟組織機構常見威脅所使用的攻擊技巧,這些威脅包括網絡犯罪分子、國家、不懷好意的内部人員等。
此外,他指出:“道德黑客還應當清楚如何以組織機構的内部語言描述風險。不同的組織機構會面臨不同類型的風險并會以不同的方式讨論。”根據組織機構的不同,業務風險包括金融影響、監管疏漏、物理安全、形象損害等。“你的道德黑客能夠幫助将潛在攻擊與業務風險聯系起來,因此你能夠确保自己的防禦适用于當面面臨的威脅。”
他補充道,尋找道德黑客的價值在于他們能夠針對提升防禦能力給出切實的業務建議,而你的運營團隊也能夠實際執行這些建議。“一些道德黑客實際上很擅長推薦實用的技術。我們應當盡力尋找他們。”
盡管漏洞發現獎勵制度和道德入侵是網絡安全中非常重要的一個環節,但是Farrington反對隻依靠道德黑客來查找安全漏洞。研究表明,道德黑客發現的大部分漏洞能夠在開發階段通過培訓或測試被開發人員堵上。對此,他指出:“組織機構必須要确保自己在軟件應用開發方面有一套完整的解決方案。”
道德黑客的價值在于防範于未然。正如Quist所言:“道德黑客要使用與不道德黑客相同的戰術、技術和程序。他們之間的最大區别在于你能夠知道他們發現了什麼以及如何解決。道德黑客相當于便宜的保險。”
原文網址https://www.csoonline/article/3266671/security/testing-the-watersthe-value-of-ethicalhacking-for-business.html