奥兰多报导——据某位安全专家兼作者表示,企业在信息安全技术上投入巨资,却未能扭转不断受到攻击这一局面。在2012年的信息安全世界会议及博览会上,该专家极力主张2500多名与会者通过实施更有效的渗透测试来反思他们的风险优先级理念。
“就我所知我们是唯一不断地投入越来越多金钱的行业,然而我们的问题每况愈下。”Dave Kennedy说到。他是位于北坎敦俄亥俄州的Diebold有限公司的副总裁兼全球风险及安全CSO。“我们增加预算、扩大投入,每次购买的产品都是大会的时髦术语。”
Kennedy是一名渗透测试人员、也是《Metasploit:渗透测试人员指导》一书的作者,他用他开发的社交工程工具软件Toolkit演示了好几种攻击。在不到一分钟内Kennedy用该工具克隆了某个web站点,使用合法的数字签名瞄准了某个受害者的机器。他展示了如何快速地完全控制该员工电脑,以及简单地使用HTTP连接来窃取数据,这些都是通过完全模拟浏览器做到的。
“你们的安全技术没有阻止这些攻击,而且这种类型的黑客攻击来说我不太擅长,”Kennedy表示。“许多孩子在这种技术表现非凡,他们不仅仅是脚本小子,他们正在变成老练的攻击者”。
Kennedy表示,大多数的CISO和安全从业人员幻想拥有戒备森严护城河的城堡将外来的攻击者拒之门外,但是合规遵从和安全技术增加了复杂性,使得安全要解决的那些危险愈加复杂。“我们整个失去了平衡,我们的专注点在于合规性,当无法确保那些需要保障的资产安全时,就从厂商那里购买产品”。
Kennedy提倡使用渗透测试执行标准(Penetration Testing Execution Standard,简称PTES),该标准及成熟度模型是在两年前的ShmooCon黑客大会上设计的。PTES用于为公司和安全服务提供商提供一个通用的语言和范畴,完成渗透测试。他谈到目前有6000人参与到PTES的制定中,公司可以利用该标准提出特定的要求,来评估渗透测试人员。
渗透测试不应该仅仅关注于漏洞扫描,Kennedy谈到。相反,牢靠的渗透测试应该产生有意义的数据,能够展现战略性的调查结果,这些结果应该能解决大多数的根本问题。通常经过渗透测试的企业,只是以发现1500个系统漏洞的海量报告告终,而没有解决这些问题根源的真正方法,Kennedy表示。
“渗透测试应该是不拘泥的、而且要模拟攻击者的行为”,Kennedy谈到。“我们需要摆脱所有这些昂贵技术的禁锢,它们仅是帮助你推测位于中国的某个人是如何在凌晨2点使用零日攻击黑了你的系统。那不起作用”。
渗透测试应该包括正式使用前的交互,Kennedy谈到。在这个过程中渗透测试人员收集情报,懂得公司如何赚取利润。威胁建模有助于弄清楚哪些攻击方式会对公司造成最大的影响。漏洞分析寻找系统弱点,发现旨在获得内部网络访问的精确攻击,它们接着取得敏感数据,对公司业务造成巨大破坏。
“这在于如何传达信息。它不是借助于一个长达1500页的报告,因为在这些报告中90%的调查结果是废话”,Kennedy说到:“你需要认识到公司有哪些体系上的问题,并且这些测试人员花多长时间可以将数据带出公司”。
会议的与会者普遍对PTES表示乐观,并且表示它可以减少渗透测试项目中聘请出价最低的人的常见做法。运行漏洞扫描软件、并且尝试解决所有这些结果并不奏效,D. David Orr谈到。他是美国联邦存款保险公司风险管理监督部门的IT检查分析员。Orr说他知道一些银行和信用合作社因为缺乏内部的专家意见而奋战于800页的报告,还在不断投入费用。“翻阅这些报告你可以看到有许多虚假的积极。我建议他们从不要如此纠结开始。”