今天的天氣格外的淘氣,這雨說下就下,路上淋得小編都找不到去公司的路了。這可不行,小編可是一個熱愛工作的人,感覺騎行了好長時間才到公司。到了公司,打開電腦,登上QQ,看到了一個好消息,安普諾也就是我們公司,旗下的懸鏡安全實驗室成員之一Kr0iNg獲網易SRC 7月份貢獻榜第一。
網易SRC官網應急響應-貢獻榜截圖
當然我還依稀記得16年12月份,我們的Kr0iNg作為初級安全研究員,獲得12月163積分,遠超第二名資深安全研究員93積分的戰績。
備注:網易SRC的貢獻榜是根據積分高低進行排名,挖洞價值越高,積分也相應的越高,當然積分也是不斷變化的。
如果你覺得小編寫這篇文章是為了炫耀我們團隊挖漏洞,滲透測試的厲害,那好吧,目的也算是達到了。當然寫這篇文章的意義更多的是在于科普,分享。
今天小編想和大家分享的是科普我們懸鏡安全實驗室白帽子挖漏那些事,帶你解鎖企業安全滲透測試整個服務過程。
一般大家對黑客的認知:壞的,帶有攻擊和破壞性的,隻牟取私利,對社會和國家帶來災難的,那隻能說明你對資訊安全行業真的是知之甚少啦。
Hacker一詞,最初曾指熱心于計算機技術、水準高超的電腦專家,尤其是程式設計人員,逐漸區分為白帽、灰帽、黑帽等,其中黑帽(black hat)實際就是cracker。
圖檔來自全景網
在媒體報道中,黑客一詞常指那些軟體駭客(software cracker),而與黑客(黑帽子)相對的則是白帽子。而今天小編要和大家分享的是白帽子。
白帽子一般是指的是帶有正面色彩的黑客,他可以識别計算機系統或者網絡系統中的安全漏洞,并不會惡意去利用,而是公布其漏洞。
目前大型公司都會專門建立一個網絡安全應急響應中心,比如騰訊SRC,百度SRC,網易SRC,小米SRC等等,白帽子們可以模拟黑客的形式對該公司的産品或者網站等進行攻擊,但白帽子一般是發現漏洞,進行送出,響應中心的人稽核确定是漏洞之後,交給内部的安全團隊進行修複。一方面白帽子們可以通過挖洞賺取一些的報酬,另一方面也為企業節省了大量的成本。
說到挖漏,小編不得不提到一個概念:“滲透測試”。那什麼是滲透測試服務呢? 滲透測試(Penetration Test),是滲透測試工程師完全模拟黑客可能使用的攻擊技術和漏洞發現技術,對目标網絡、主機、應用的安全作深入的探測,發現系統最脆弱的環節。
滲透測試是獲得客戶授權,采用可控制、 非破壞性質的方法和手段發現目标和網絡裝置中存在弱點,黑客攻擊則相反。
随着企業資訊化建設的開展,越來越多的重要資料會以電子媒介的形式存放,這在友善企業辦公的同時,也造成了極大的安全隐患。
近年來,随着APT攻擊的蔓延,使得越來越多的企業遭受不可挽回的重大損失。 APT(Advanced Persistent Threat)進階持續性威脅。
簡要來說,APT攻擊是針對特定組織具有非常明确的目的、極強的隐蔽能力的持續性多方位滲透攻擊。如果您想了解傳統的網絡犯罪集團與APT攻擊行為到底有哪些異同,下面的表格(表1-1)或許能讓您找到答案。
制表:懸鏡安全實驗室
不難看出APT攻擊更像一支配備了精良武器的特種部隊,這些尖端武器會讓使用者網絡環境中傳統的IPS/IDS、防火牆等安全網關失去應有的防禦能力。
無論是0day或者精心構造的惡意程式,傳統的機遇特征庫的被動防禦體系都無法抵禦定向攻擊的入侵。
即便是業界熱議的NGFW,利用CA憑證自身的缺陷也可讓受信的應用成為網絡入侵的短闆。
不過您也不用擔心,一般ATP攻擊面向都是大型,高價值資料,且業務範圍龐大的企業。
滲透測試的重要性
01.滿足政策合規性要求
2017年6月1日實行的《網絡安全法》也明确規定:關鍵資訊基礎設施行業需每年至少進行一次風險評估,而滲透測試恰好是風險評估的一部分。
02.保護企業網絡安全,免遭攻擊
在目的明确、裝備精良、經驗豐富的“雇傭軍”式的攻擊者面前,傳統的安全裝置已顯得力不從心,企業需要做的是定期開展專業的滲透測試,來降低風險,加強安全。
滲透測試(Penetration Test),是滲透測試工程師完全模拟黑客可能使用的攻擊技術和漏洞發現技術,對目标網絡、主機、應用的安全作深入的探測,發現系統最脆弱的環節。如果說安全檢測是“橫向地毯式自動化掃描”,那麼滲透測試就是“縱向深度人工化入侵”。
為了完全模拟黑客進行滲透測試,滲透測試工程師需要具有非常豐富的滲透實戰經驗,根據目标實際情況,精心調研收集資訊,構造可能的滲透路徑,花費大量時間精力、運用長時間積累的各種滲透手法純手工去檢測,盡可能多的、深入的去發現問題,并以報告的形式展現給企業,友善企業知己知彼,對症下藥,動态提高整體安全。
03.企業遭受攻擊,影響業務
企業已經遭到攻擊,并且已經影響到業務的正常運轉。
什麼是影響業務運轉?小編舉個例子。雲平台廠商,平台上有大量的客戶,每天都需要登入平台檢視自己的資料資訊,突然有一天,網站不能通路,平台不能注冊,資料不能檢視,不僅影響了企業的業務營收,給客戶帶來的損失和傷害也是巨大的。
圖檔來源網絡
有些平台有積分,金币獎勵機制,一旦黑客發現越權或者getshell了,能夠随意修改金币的數量以及随意登入别人的賬号,這對企業來說帶來的損失也是巨大的。
遭受攻擊,企業出現的第一反應就是如何解決,確定平台的正常運轉,減少損失。作為靠譜而又專業的安全廠商-懸鏡,我們一般在幫助客戶做完應急響應之後,都會建議客戶做一個滲透測試,發現企業網絡系統存在的安全漏洞和隐患,甚至找出此次事件的始作俑者,避免此類事件的發生。
說了這麼多,小編也給大家介紹下我們懸鏡安全實驗室。懸鏡安全實驗室是北京安普諾旗下強大而又專業的安全團隊,實驗室核心成員來自北京大學資訊安全實驗室,具有多年的漏洞挖掘、逆向分析、機器學習等核心技能。
為什麼很多企業都會找我們給做安全滲透測試服務呢?
懸鏡優勢
01.專業化的滲透測試團隊
懸鏡安全實驗室擁有國内安全漏洞研究團隊,對漏洞的研究成果已經應用到了很多的安全産品當中。
滲透測試服務經驗非常豐富,曾經參與過很多大型網站的滲透測試工作,并且在網信辦安全檢查、G20、一帶一路等重要敏感時期,曾為很多具有影響力和關鍵性網站提供了資訊安全保障服務。
滲透測試團隊會根據項目的規模有選擇性的申請部分漏洞研發團隊專家參與到項目中,共同組成臨時的滲透測試小組,面向使用者提供深層次、多角度、全方位的滲透測試。
02.深入化的測試需求分析
在滲透測試開展前期,會從技術層面(網絡層、系統層、應用層)着手與使用者進行廣泛溝通,對使用者目前的一些重要資料進行采集、彙總、梳理、掌握,以便為滲透測試工作地開展奠定良好的基礎。
除了技術層面以外,也将會根據使用者滲透測試的目标以及提出的需求着重對于使用者的業務層面進行分析,并且将分析結果應用于滲透測試當中, 做到明确所有需求的基礎上準确而深入的貫徹使用者的意圖,将滲透測試的目标與業務系統連續性運作保障緊密的結合起來。
03.規範化的滲透測試流程
滲透測試流程分為準備、滲透以及加強三個基本階段,在每個階段都會生成階段文檔,最終在完成滲透測試整個流程以後将會由項目經理将三個階段的文檔進行整理、彙總、送出給使用者。并且針對過程中遇到的問題向使用者進行彙報。
提供的滲透測試流程特點就在于将滲透準備階段及安全加強階段作為兩個獨立而重要環節貫穿于整個滲透測試過程當中,這樣就可以結合懸鏡安全實驗室在項目監控管理方面的優勢對整個滲透測試項目開展的規範化加以保障。
04.全面化的滲透測試内容
滲透測試内容基本圍繞技術層面(系統層、應用層、網絡層)進行開展,并且針對不同層面的安全漏洞及威脅懸鏡安全實驗室提供了一系列滲透測試方法及流程。并且結合不同的漏洞也提出相應的修補建議供使用者借鑒。