评估方法
近年来,政府和私营组织都将网络安全作为一项战略重点。网络犯罪分子经常利用不同的攻击媒介,将政府和私营组织作为软目标。不幸的是,由于缺乏有效的政策、标准以及信息系统的复杂性,网络犯罪分子拥有大量的目标,并且越来越成功地利用系统并窃取信息。
渗透测试是一种可以用来减轻网络攻击风险的策略。渗透测试的成功取决于高效且一致的评估方法。
我们有多种与渗透测试相关的评估方法。使用方法的好处是它允许评估人员一致地评估环境。以下是一些重要的评估方法:
开放源代码安全测试方法手册 (OSSTMM)
开放式Web应用程序安全项目 (OWASP)
美国国家标准与技术研究院 (NIST)
渗透测试执行标准 (PTES)
什么是PTES?
PTES,渗透测试执行标准,顾名思义,是一种渗透测试评估方法。它涵盖了渗透测试相关的一切。在PTES中,我们有很多关于评估人员可能遇到的不同环境的技术指导。对于新的评估人员来说,这是使用PTES的最大优势,因为技术指导包含了使用行业标准工具来解决和评估环境的建议。
在下一节中,我们将学习PTES的不同阶段。
PTES的七个阶段
渗透测试执行标准 (PTES) 包括七个阶段。这些阶段涵盖了渗透测试相关的一切——从最初的沟通和渗透测试背后的原因,到情报收集和威胁建模阶段(测试人员在幕后工作)。这有助于更好地理解被测试组织,以及漏洞研究、利用和利用后阶段。在这里,测试人员的技术安全专业知识与参与的业务理解紧密结合,最终形成报告,以客户理解的方式捕捉整个过程,并为其提供最大的价值。
我们将在后续章节中学习PTES的七个阶段:
项目启动前互动阶段
这是PTES的第一个也是非常重要的阶段。本阶段的主要目标是解释可用的工具和技术,这些工具和技术有助于成功完成渗透测试的启动前步骤。在实施本阶段时出现任何错误都可能对评估的其余部分产生重大影响。本阶段包括以下内容:
评估请求
本阶段开始的第一部分是组织创建评估请求。向评估人员提供一份投标邀请书 (RFP) 文档,其中包含有关环境、所需评估类型以及组织期望的详细信息。
投标
现在,根据RFP文档,多个评估公司或个人有限责任公司 (LLC) 将进行投标,其投标与请求的工作、价格和其他一些特定参数相匹配的一方将胜出。
签署委托书 (EL)
现在,组织和胜出投标的一方将签署一份委托书 (EL) 合同。该函将包含工作说明 (SOW) 和最终产品。
范围界定会议
签署EL后,可以开始对范围进行微调。此类会议帮助组织和相关方微调特定范围。范围界定会议的主要目标是讨论将测试什么。
处理范围蔓延
范围蔓延是指客户可能会试图增加或扩展承诺的工作水平,以获得可能超出其承诺支付的范围。因此,由于时间和资源的限制,应对原始范围的修改进行仔细考虑。还必须以某种书面形式完成,例如电子邮件、签署的文档或授权函等。
问卷调查
在与客户进行初步沟通期间,客户将需要回答几个问题,以便正确估算项目范围。这些问题旨在更好地理解客户希望从渗透测试中获得什么;客户为什么要对他们的环境进行渗透测试;以及他们是否希望在渗透测试期间执行某些类型的测试。
测试执行方式
启动前阶段的最后一部分是确定执行测试的程序。有多种测试策略可供选择,例如白盒测试、黑盒测试、灰盒测试和双盲测试。
以下是可能请求的一些评估示例:
- 网络渗透测试
- Web应用程序渗透测试
- 无线网络渗透测试
- 物理渗透测试
- 社会工程
- 网络钓鱼
- 互联网协议语音 (VOIP)
- 内部网络
- 外部网络
情报收集阶段
情报收集是PTES的第二阶段,在这个阶段,我们对目标进行初步调查,收集尽可能多的信息,以便在漏洞评估和利用阶段渗透目标时使用。它帮助组织确定评估团队的外部暴露。我们可以将信息收集分为以下三个级别:
一级信息收集
自动化工具几乎可以完全获取此级别信息。一级信息收集工作应适合满足合规性要求。
二级信息收集
此级别信息可以通过使用一级自动化工具以及一些手动分析来获得。此级别需要对业务有很好的了解,包括诸如物理位置、业务关系、组织结构图等信息。二级信息收集工作应适合满足合规性要求以及其他需求,例如长期安全策略、收购小型制造商等。
三级信息收集
此级别信息收集用于最先进的渗透测试。三级信息收集需要来自一级和二级的所有信息以及大量手动分析。
威胁建模阶段
这是PTES的第三阶段。正确执行渗透测试需要威胁建模方法。威胁建模可以用作渗透测试的一部分,或者它可能基于许多因素而面临。如果我们将威胁建模用作渗透测试的一部分,那么第二阶段收集的信息将回滚到第一阶段。
以下步骤构成威胁建模阶段:
收集必要的和相关的信息。
需要识别和分类主要和次要资产。
需要识别和分类威胁和威胁社群。
需要将威胁社群映射到主要和次要资产。
威胁社群和参与者
下表列出了相关的威胁社群和参与者及其在组织中的位置:
| 位置 | 内部 | 外部 |
|---|---|---|
| 威胁参与者/社群 | 员工 | 业务合作伙伴 |
| 管理人员 | 承包商 | |
| 管理员(网络、系统) | 竞争对手 | |
| 工程师 | 供应商 | |
| 技术人员 | 民族国家 | |
| 普通用户社区 | 黑客 |
在进行威胁建模评估时,我们需要记住威胁的位置可能是内部的。只需要一封网络钓鱼电子邮件或一位恼怒的员工,他们就会通过广播凭据来危及组织的安全。
漏洞分析阶段
这是PTES的第四阶段,评估人员将在此阶段识别可用于进一步测试的目标。在PTES的前三个阶段中,只提取了关于组织的详细信息,评估人员没有接触任何用于测试的资源。这是PTES中最耗时的阶段。
以下阶段构成漏洞分析:
漏洞测试
它可以定义为发现主机和服务的系统和应用程序中的缺陷(例如错误配置和不安全的应用程序设计)的过程。测试人员必须在进行漏洞分析之前正确确定测试范围和预期结果。漏洞测试可以有以下类型:
- 主动测试
- 被动测试
我们将在后续章节中详细讨论这两种类型。
主动测试
它涉及与正在测试其安全漏洞的组件进行直接交互。这些组件可以是低级别的,例如网络设备上的TCP堆栈,也可以是高级别的,例如基于Web的接口。主动测试可以通过以下两种方式进行:
自动化主动测试
它利用软件与目标交互,检查响应,并根据这些响应确定组件中是否存在漏洞。与手动主动测试相比,自动化主动测试的重要性可以从以下事实中看出:如果系统上有数千个TCP端口,我们需要手动连接所有端口进行测试,这将花费相当长的时间。但是,使用自动化工具可以减少大量的时间和人力需求。网络漏洞扫描、端口扫描、Banner抓取和Web应用程序扫描都可以借助自动化主动测试工具完成。
手动主动测试
与自动化主动测试相比,手动有效测试更有效。自动化流程或技术总是存在误差。这就是为什么始终建议对目标系统上可用的每个协议或服务执行手动直接连接以验证自动化测试结果的原因。
被动测试
被动测试不涉及与组件的直接交互。它可以借助以下两种技术实现:
元数据分析
此技术涉及查看描述文件的数据,而不是文件本身的数据。例如,MS Word文件包含其作者姓名、公司名称、上次修改和保存文档的日期和时间等元数据。如果攻击者可以被动访问元数据,则会存在安全问题。
流量监控
它可以定义为连接到内部网络并捕获数据以进行离线分析的技术。它主要用于捕获“数据泄露”到交换网络。
验证
漏洞测试后,非常有必要验证结果。这可以使用以下技术完成:
工具间的关联
如果评估人员使用多个自动化工具进行漏洞测试,那么为了验证结果,必须在这些工具之间进行关联。如果没有这种工具之间的关联,结果可能会变得复杂。它可以细分为项目的具体关联和项目的分类关联。
特定协议验证
也可以借助协议进行验证。VPN、Citrix、DNS、Web、邮件服务器可以用来验证结果。
研究
在发现并验证系统中的漏洞后,必须确定问题识别的准确性,并研究在渗透测试范围内漏洞的潜在可利用性。研究可以公开或私下进行。在进行公开研究时,可以使用漏洞数据库和厂商公告来验证报告问题的准确性。另一方面,在进行私人研究时,可以设置一个复制环境,并应用模糊测试或测试配置等技术来验证报告问题的准确性。
利用阶段
这是PTES的第五阶段。此阶段侧重于通过绕过安全限制来访问系统或资源。在这个阶段,前面阶段完成的所有工作都会导致获得系统访问权限。以下是一些用于访问系统的常用术语:
- 攻破
- 获取Shell
- 破解
- 利用
在利用阶段,系统登录可以通过代码、远程利用、创建利用程序、绕过杀毒软件来完成,或者像使用弱凭据登录一样简单。获得访问权限后,即确定主要入口点后,评估人员必须专注于识别高价值目标资产。如果漏洞分析阶段完成得当,应该已经编制了高价值目标列表。最终,攻击向量应考虑成功概率和对组织的最大影响。
利用后阶段
这是PTES的第六阶段。评估人员在此阶段会执行以下活动:
基础设施分析
在此阶段会对渗透测试期间使用的整个基础设施进行分析。例如,可以使用接口、路由、DNS服务器、缓存的DNS条目、代理服务器等来分析网络或网络配置。
数据窃取
它可以定义为从目标主机获取信息。此信息与预评估阶段定义的目标相关。此信息可以从已安装的程序、特定服务器(如数据库服务器、打印机等)中获取。
数据泄露
在此活动中,要求评估人员对所有可能的泄露路径进行映射和测试,以便可以进行控制强度测量,即检测和阻止组织中的敏感信息。
创建持久性
此活动包括安装需要身份验证的后门、根据需要重新启动后门以及创建具有复杂密码的备用帐户。
清理
顾名思义,此过程涵盖了渗透测试完成后清理系统的要求。此活动包括恢复原始值系统设置、应用程序配置参数以及删除所有已安装的后门和任何已创建的用户帐户。
报告
这是PTES的最终也是最重要阶段。渗透测试完成后,客户根据最终报告付费。该报告基本上反映了评估人员对系统的发现。以下是良好报告的重要组成部分:
执行摘要
这是一份报告,它向读者传达渗透测试的具体目标和测试练习的主要发现。目标受众可以是咨询委员会或高管成员。
故事情节
报告必须包含故事情节,说明在参与过程中做了什么,实际的安全发现或弱点以及组织已建立的积极控制措施。
概念验证/技术报告
概念验证或技术报告必须包含测试的技术细节以及在参与前练习中商定的所有方面/组件作为关键成功指标。技术报告部分将详细描述测试的范围、信息、攻击路径、影响和补救建议。