2009年5月23日 星期六

滲透測試之全民公測 (Open Penetration Test)

滲透測試 (Penetration Test),直到目前為止仍沒有一個標準的定義。比較大的共識應該是:以駭客的角度,由外部對目標網路環境進行滲透,找出任何可進行利用之弱點、漏洞或錯誤...等,並將結果回報。

隨著地下經濟的發展與資安觀念的不斷演變,滲透測試也面臨一些角色的轉變。早期滲透測試主要找系統面的漏洞居多,一方面是當時網站還屬靜態居多,且防火牆觀念並不發達,所以主要都是蠕蟲氾濫的系統漏洞問題,滲透測試的攻擊目標往往也都在這方面。現今,網站變動態網頁居多了,IPS&FW也建置部署了,系統自動更新機制也頗完善,系統漏洞已經不易直接攻擊,面臨的幾乎都是網站的威脅,加上 Web2.0&3.0...,攻擊方式更複雜,所以滲透測試的目標也漸漸轉移到網站上。未來呢?系統應用程式的挑戰?雲端的挑戰?滲透測試也會有新的面貌出現的。

滲透測試 vs 真實入侵
最大的差別,之前有提到,就是「時間」的差異,因為真實入侵並沒有時間壓力,很多時候都是等待一個契機,一個契機就可以拿下主機或甚至是一整個 Site;另外一個就是網站被盯上後,盯上的人技術層面雖然有高有低,但,每個都是用自己最厲害的拿手絕技來檢視你的系統、網路架構,你的網站夠大、夠吸引人,哪來者千奇百怪,你如何有效應付呢?有時最簡單也是最有效的攻擊方式,有時只是一個意念與技術無關的攻擊巧門,可能就瓦解你的整個防線了。

滲透測試 vs 弱點掃描
弱點刺探、掃描的步驟,只是滲透測試過程中的一個環節,滲透測試最重要的也就是要有能力檢測漏洞是否真正存在,可以如何被利用,能利用到哪個層級。甚至,更好的滲透測試應該要能找到弱點掃描無法發現的問題。所以滲透測試絕不等於弱點掃描加漏洞驗證而已,它可是需要絕佳的創意與發想的,換句話說,得有些邪惡的意念...XD。

個資法的不確定因素
把滲透測試開放全民公測吧!主要會有這想法也是因為個資法的「即將」通過。對於個資法的通過,需多人看到巨大的資安商機,但...我不認為有資安商機會有多大,天底下沒有一個產品或技術可以一夕之間解決所有問題,我反而看到了巨大地下經濟,有些事不宜說太明。如果要一夕之間把資安做好,還是要一夕之間發現主要問題,來針對問題解決呢?你得評估哪個比較容易。

前面已經提到,滲透測試再怎麼模擬,也無法等同真實入侵,所以提出「滲透測試之全民公測」觀念,開放網站、系統給國內白帽駭客公測吧!只要訂定一套規則說明,依循此規則進行即可,只是目前沒有相關遊戲規則可以參考,要當前瞻者本來就不容易的;依據發現問題層級達,若達特定規模或層級,可提供檢舉獎金或通報獎金吧。另外一個層面的意義也是「買回你不知道的漏洞或問題吧!」,否則,衍生所導致的問題可能讓你付出更多,多到可能稱之為巨額。

滲透測試之全民公測
1.風險高嗎?
也許你會覺得這樣風險很高,可能不小心網站、系統被玩掛了,但從另外一個角度想,網站、系統如此脆弱,是否也該思考予以補強呢?「全民公測」只是把之前檯面下的風險搬到檯面上的。
2.攻防技術的對等
要思考內部人員是否能有資安技術的提升,如果攻防差距過大,「全民公測」相信絕對無法解決你的問題。因為,即使知道問題,但可能也不了解問題本身,當然更無解決能力。
3.自信心
這是對自我系統、網路、基礎架構、資安防禦工事的掌控程度的自信心呈現,如果掌控度高、調派力夠、反應力快,你也知道這樣的資安團隊只要有技術能力,往往能「主動」發現問題,也能接受各種資安威脅的新挑戰,「全民公測」反而是助力,可以參考這篇文章。這會是你的目標嗎?
4.前瞻性
有個觀念還是要提一下,「資安不是流行產業」,做資安千萬不能一窩蜂,舉個簡單的例子,當每個人都在蓋鐵路時,要嘛,就是你已經蓋了,不然就忍一下,做前瞻規劃然後直接蓋磁浮列車或高速鐵路或捷運,這時你的選擇是很多的,評估手上資源妥善運用新的技術,如果老是用舊觀念舊思維做資安,包袱會是很重的。「前瞻者」是會比較辛苦的,畢竟前方篳路藍縷,要當第一個走過的人,有很多事得思考與執行才能成功。
5.個資法與地下經濟的變數
你思考過個資法會對地下經濟產生哪些變化呢?地下經濟鏈會有何改變呢?現階段以靜制動可不是上策的,尤其是大目標的話。

5 則留言:

匿名 提到...

1、滲透測試 (Penetration Test),本來就不應該受到限制,否則最後只會淪為形式作業罷了。
2、一般企業的觀念始終停留在購買設備或是導入ISO27001這樣的稽核制度,真正的資安技術面,往往在一般企業均不被重視。
3、個資法躺在立法院多久了,我想不用我多說吧,其中一項最大差別在於,現在如果網站被入侵,像是各大入口網站或是電視購物等,依現行法令均以受害人的角色自居,因此真正的受害人也就是一般民眾均無法求償,但是新版個資法這些單位就無法再以受害人自居,相對的必須接受民眾求償,這樣一來這些單位勢必被迫要對於資安部分更加重視,所謂商機或許可能會應運而生(老實說我也不太樂觀,畢竟上有政策,下有對策),所以相關法令不過,這些單位永遠不會把資安當一回事的,所以法案何時會過?聽聽就好,反正都拖了三年多了。
4.地下巨大經濟早已形成,在國外找到一個漏洞,獲利可是非常好的,許多著名資安比賽或是資安會議,如微軟的藍帽等,找到一個漏洞起碼有萬元美金以上的報酬,地下化販售的我想就更豐碩了,所以公測我雖認為是個不錯的點子,但是沒有相對應的報酬,又有誰會去作呢,且受測單位又願意提供什麼樣的好處吸引這些高手呢?我想這世上淡薄名利的人很少,即使是白帽也是要吃飯養家吧。
5、最後,企業願意付出多少代價,我想才是最後的重點吧,畢竟天下沒有白吃的午餐,資訊安全和其他重要關鍵系統一樣都是需要維護的,而企業對於資訊安全人員的需求量(無論規模大小),我想這樣的態度已經很明白了,了不起有個ISO 27001認證(我一直認為這種認證就像是作弊行為,因為自己有相關經驗,但是很多人還是很迷信)就很了不起了。
PS:在此發表一點小小想法與感想,以提供互相交流,無任何筆戰之意,望君切莫見怪。

Crane_Ku 提到...

嗨嗨...
資安觀念,這本來就是非常主觀的,所以很需要交流的。我也很怕我的有些觀念是舊思維,所以任何留言我都非常歡迎。
況且,今天正確的資安觀念,明天有可能就需要修改,如何保持更新,也需要透過各種交流管道的。

RedJack 提到...

其實我覺得滲透測試是否要受限,是很難說的一件事。
原因之一就是如果一樓說的;受限很容易使其淪為形式。
一個是怕影響作業…什麼的怕東怕西,所以限制
另一個是怕真的找出問題來…所以限制測試。

但是;測試是為了驗證強度。如果因為不限制範圍與手法,而在可承受的範圍外影響正常運作的話。
那也是太過了。

過猶不及,尺度的拿捏向來不是簡單的事。

說到這滲透測試,我只知道一個CASE是某個龍頭級的公司請廠商去測試。
廠商的二個工程師事先只有調查資料而已,並沒有做進一步的技術動作。
結果15分鐘內就滲透進去並控制了整個IT。

不知道有沒有更扯的例子?

Crane_Ku 提到...

ccc...更扯的應該是:滲透進去以後發現有兩組人馬已經在裡面了...XD。
淪為形式作業...這已經是很不錯了。畢竟納入流程後,往往就是淪為形式作業(你也可以說是日常作業),所以之後才有流程改善與流程再造,如果要做到「營運管理」這是必經之路。

roamer 提到...

回應三樓:

15分鐘雖然不是常態,
但也不是特例,
只是這種進去後通常會像Crane大大說的一樣,
會是報告上不見得會列出的「往生風險」...XD

至於滲透測試真正的問題點,
我只能說「很可怕,不要問...」
等哪天我對資安界徹底死心後,
再來放砲一篇好了...XDD