选择***者的角色 --- ***测试的起点 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
Jack zhai
***服务是为了验证漏洞的可被利用性,以及被利用的程度,即所能造成的威胁有多大。企业信息安全防御体系面临的***是多方面的,不仅有来自外部的***,而且有来自内部各类人员的窃取与篡改。如何选择***的起点,模拟***者的角色很重要。
不同角色的人对信息防御体系知悉的程度差异很大,了解得越多,绕过防御措施越容易,***相对容易,花费时间也较少。
作为一种商业安全服务,选择不同的角色,意味着***难度的不同,工作量的不同,最终完成目标的***时间也就不同,***的效果也可能不同。
不衡量技术难度与工作量,就无法确定服务的商业价值,若一味追求低价政策,***服务商无法提供高水平的***人员参与,无法使用高技术含量、最新安全技术工具,***服务的质量就会大打折扣,从而无法验证安全漏洞可带来的威胁程度,也失去了***服务的意义。
一、按角色分类:
角色就是模拟***者的身份。确定角色,可以确定***者对目标网络架构、安全体系、业务逻辑了解的程度,了解得越多,意味着越接近目标。
***的技术难度则主要看目标的安全防御体系是否完善,一般来讲,***内网业务服务器比互联网上的服务器难度大,对防御完善的系统***技术难度明显加大。
根据***者的角色,***服务可以分为:
1、 自由***:对被***者了解只限于从公众信息媒体中了解到的,一般是从互联网发起***。用户对***服务也许没有明确的目标,就是要检验自己防护系统的漏洞,***者可以篡改页面,可以控制“肉鸡”,也可以自己选择目标服务器;
2、 普通用户:作为用户业务的普通用户,可以从互联网,也可以从内网的一个终端发起***。对用户网络架构部分了解,对安全体系不了解,对用户业务系统有所了解。用户***目标明确,一般就是业务系统敏感信息窃取;
3、 网管人员:用户内部的运维管理人员。一般从内网开始***,对网络、安全机制都很熟悉。***服务的目标很明确,就是验证安全监控体系是否可以察觉、是否可以取证内部人员的窃密行为;
4、 管理人员:主管人员一般拥有网络内部高级访问权限,熟悉内部网络与安全机制。***服务主要验证内部安全审计措施是否完善,若对用户业务流程有一定了解,可以验证业务流程中的安全控制机制是否完善;
5、 第三方维护人员:外包运维服务是很多企业所采用的,作为运维人员,对用户内部的部分系统非常熟悉,如网络维护者、安全维护者、业务系统维护者、服务器维护者、办公系统维护者,正常情况下对其他系统并不熟悉,但他们有很多机会接触到其他系统的维护人员,工作空间也可能是交叉的。***服务主要是验证对第三方运维人员管理上的安全漏洞;
下表是不同***服务类型,在通常情况下的技术难度与工作量 ( 若目标安全防御体系完善时,技术难度应该提高一个等级 ) :
| 目标 | ***渠道 | 用户信息 | 技术难度 | 技术工作量 |
自由*** | 不明确 | 互联网 | 不熟悉,通过 Google/ 百度搜索信息 | 中 | 大 |
普通用户 | 明确 | 内网 / 互联网 | 部分熟悉 | 中 | 大 |
网管人员 | 明确 | 内网 | 熟悉 | 易 | 中 |
管理人员 | 明确 | 内网 | 熟悉 | 易 | 小 |
第三方维护 | 明确 | 内网 / 互联网 | 部分熟悉 | 难 | 中 |
二、按***目标分类
影响***服务时间与效果的,不仅有***者的角色,而且还有***目标的类型,直接体现在***过程中的技术难度差异。
***服务的技术难度,与目标的位置有关,门户网站直接暴露在互联网上,而业务核心数据库则在企业安全性最好的机房内部;与目标的种类有关,如 Windows 、 Linux 、专用系统等;与目标业务类型有关,如 Ftp 服务、 Http 服务、 OA 系统、数据库等;与目标的安全防御措施有关,如 NAT 地址隐藏、防火墙策略、 ××× 认证、主机安全监控等。
1、 门户网站:面对互联网,从技术难度的角度排序应该是:页面挂马、网页被篡改、服务器成“肉鸡”、成为***内部网络的跳板;
2、 邮件系统:邮箱是信息通讯的必备工具,最为突出的问题是邮箱密码被破解;当然邮件服务器也是被***的目标;
3、 业务主机:业务处理服务器、资源下载服务器、 DNS 服务器等等,主机最担心的是被人安装***收集信息,或成为“肉鸡”;
4、 特定用途主机:可以是资料服务器,可以是某业务主管的个人电脑,***该主机为了就是窃取敏感信息;
5、 业务系统:针对某业务系统的***,可以***业务服务器,或者数据库服务器,也可以获取该业务管理员的账户口令,或者是高级业务用户登录权限,其目的是下载业务数据、非授权操作业务流程、篡改特定业务数据等等;如电子商务计费系统、 ERP 系统、软件版本管理服务器等;
6、 网络或安全设备:针对网络或安全设备的***不是很多,但危害很大,破译密码后,可以直接修改网络路由与安全策略,让后续的其他***工作顺利通过;
7、 网络基本服务系统:针对 CA 证书系统、 DNS 服务器、网管系统等的***,一般不为用户所关注,但这些维护网络正常运转的网络服务系统一旦被***,影响面很大,可以在短时间内迅速成功***到其他各个业务系统或主机;
下表是不同***服务类型,在通常情况下的技术难度与工作量 ( 若目标安全防御体系完善时,技术难度应该提高一个等级 ) :
| 工作量小 | 工作量中 | 工作量大 |
技术难度小 |
| ( 网站 ) 网页挂马 ( 网站 ) 篡改网页 |
|
技术难度中 |
| 邮箱*** ( 邮件系统 ) | 业务系统 特定用途主机 ( 终端 ) |
技术难度大 | 邮件系统主机 | 业务主机 ( *** ) 特定用途主机 ( 服务器 ) ( 网站 ) 控制主机 网络和安全设备 | 业务主机 ( 肉鸡 ) 业务主机 ( 潜伏 ) 网络基本服务系统 |