從攻擊者的角度思考可以更快速了解企業(yè)在網(wǎng)絡(luò)防御方面的不足。網(wǎng)絡(luò)安全滲透測試工作的本質(zhì)就是扮演攻擊性黑客的角色，梳理企業(yè)的IT資產(chǎn)、尋找漏洞和攻擊路徑，以便更好地修復(fù)或應(yīng)對(duì)風(fēng)險(xiǎn)。定期開展?jié)B透測試對(duì)企業(yè)來說很寶貴，然而很多企業(yè)在準(zhǔn)備制定滲透測試計(jì)劃時(shí)，他們對(duì)滲透測試服務(wù)的理解和需求，往往與真實(shí)服務(wù)情況存在著很多偏差。本文梳理總結(jié)了企業(yè)在開展?jié)B透測試工作時(shí)普遍存在的認(rèn)知誤區(qū)，并就如何避免這些錯(cuò)誤給出了建議。

誤區(qū)1 滲透測試總是主動(dòng)發(fā)起的

開展?jié)B透測試的主要目的是搶在攻擊者之前發(fā)現(xiàn)系統(tǒng)的安全隱患和漏洞，因此滲透測試屬于一種主動(dòng)式的安全技術(shù)。但就具體的滲透測試工作而言，有時(shí)也會(huì)是被動(dòng)發(fā)起的，例如當(dāng)組織在調(diào)查網(wǎng)絡(luò)攻擊的原因時(shí)。在網(wǎng)絡(luò)安全事件調(diào)查中，組織可以通過滲透測試以深入了解攻擊的性質(zhì)，并全面掌握該事件是如何發(fā)生的，采用的技術(shù)的是什么，以及攻擊的動(dòng)機(jī)是什么？因此，盡管大多數(shù)情況下，組織會(huì)主動(dòng)執(zhí)行測試以幫助防止違規(guī)行為。但滲透測試工作并不都是主動(dòng)發(fā)起的，取證分析期間的滲透測試同樣可以幫助企業(yè)了解發(fā)生了什么，從而幫助組織防止類似的事件再次發(fā)生。

誤區(qū)2 滲透測試就是漏洞掃描

由于滲透測試和漏洞掃描都是為了識(shí)別潛在的威脅途徑，因此很多人會(huì)將兩者混為一談。但實(shí)際上，漏洞掃描與管理主要包括識(shí)別和分類已知漏洞，生成需要注意的優(yōu)先漏洞列表，并推薦修復(fù)它們的方法。而安全威脅非常多樣，并不僅限于安全漏洞的利用。滲透測試側(cè)重于模擬攻擊者的行為，在服務(wù)完成后，測試人員需要生成一份詳細(xì)報(bào)告，說明測試過程中是如何破壞安全性以達(dá)到先前商定的目標(biāo)（例如破壞工資系統(tǒng)），并提供相應(yīng)的威脅緩解方案。

誤區(qū)3  滲透測試可以完全自動(dòng)化

滲透測試自動(dòng)化在理論上看起來不錯(cuò)，但在具體實(shí)現(xiàn)中會(huì)存在很多問題。為了實(shí)現(xiàn)常態(tài)化、持續(xù)性的安全能力測試，許多企業(yè)開始大量使用自動(dòng)化技術(shù)驅(qū)動(dòng)的安全測試方法，但需要指出的是：目前的自動(dòng)化測試模式大多屬于安全掃描，而非真正的滲透攻擊測試。不可否認(rèn)自動(dòng)化測試的應(yīng)用價(jià)值，但真正的攻擊行為是和機(jī)器模擬入侵有很大差異的。經(jīng)驗(yàn)、創(chuàng)造力和好奇心是滲透測試的核心，而這都是專業(yè)滲透人員獨(dú)有的。人工測試是大多數(shù)的滲透測試項(xiàng)目不可或缺的，這樣才能更好地從攻擊者視角發(fā)現(xiàn)問題。

誤區(qū)4 滲透測試意味著高成本

企業(yè)開展?jié)B透測試工作需要一定的人力、技術(shù)和資金資源投入。雖然這些資源可能不容易獲取，但它們?cè)陬A(yù)防威脅方面具有的價(jià)值卻值得組織投入心血。因?yàn)榕c網(wǎng)絡(luò)攻擊造成的經(jīng)濟(jì)損失相比，投入到滲透測試的成本可以說是微不足道的。隨著數(shù)字化轉(zhuǎn)型的深入，各種數(shù)據(jù)資產(chǎn)對(duì)企業(yè)而言是無價(jià)的，一旦數(shù)據(jù)被非法泄露，組織的商譽(yù)會(huì)受到嚴(yán)重?fù)p害。而如果攻擊者的目標(biāo)是為了勒索錢財(cái)，他們索要的贖金數(shù)額通常也會(huì)遠(yuǎn)高于滲透測試的成本預(yù)算。

誤區(qū)5 滲透測試應(yīng)該由外部人員執(zhí)行

關(guān)于滲透測試有一個(gè)長期存在的誤區(qū)是，外部人員執(zhí)行滲透測試會(huì)比內(nèi)部人員更有效，其原因是外部人員對(duì)企業(yè)的數(shù)字化系統(tǒng)并不熟悉，因此會(huì)更加客觀。雖然客觀性是滲透測試有效性的關(guān)鍵，但了解業(yè)務(wù)系統(tǒng)并不就意味著不客觀。

因此，滲透測試可由企業(yè)內(nèi)部員工、專業(yè)服務(wù)商或其他第三方機(jī)構(gòu)完成。滲透測試由標(biāo)準(zhǔn)程序和性能度量組成，只要測試者能夠嚴(yán)格遵循測試指導(dǎo)原則，測試結(jié)果就是有效的。對(duì)于企業(yè)而言，選擇的重點(diǎn)不應(yīng)該放在聘請(qǐng)外部或內(nèi)部測試者上，而是應(yīng)該放在尋找能夠出色完成工作的測試者上。

誤區(qū)6  滲透測試是階段性的工作

很多企業(yè)認(rèn)為，滲透測試只需要階段性開展就可以，因?yàn)橐淮螠y試的報(bào)告結(jié)果將會(huì)長期有效。在網(wǎng)絡(luò)空間千變?nèi)f化的發(fā)展態(tài)勢下，這種認(rèn)知將給企業(yè)帶來一定的安全風(fēng)險(xiǎn)。由于網(wǎng)絡(luò)犯罪分子會(huì)不停地尋找系統(tǒng)中的漏洞，如果滲透測試間隔時(shí)間長，他們就有機(jī)會(huì)領(lǐng)先于企業(yè)發(fā)現(xiàn)可利用的新漏洞。傳統(tǒng)的滲透測試是按照固定的時(shí)間表進(jìn)行的，屬于定期評(píng)估的概念。持續(xù)滲透測試則是一個(gè)不斷掃描系統(tǒng)以發(fā)現(xiàn)漏洞的過程，會(huì)變得越來越重要。

誤區(qū)7  滲透測試僅用于發(fā)現(xiàn)技術(shù)缺陷

滲透測試的目的是發(fā)現(xiàn)組織安全防護(hù)體系中的不足。在測試中，測試方可以應(yīng)用包括社會(huì)工程方式在內(nèi)的多種方法。因此，在滲透測試之前，通常會(huì)確定是否需要專門評(píng)估某項(xiàng)技術(shù)的安全性。在實(shí)際應(yīng)用中，測試工程師可能會(huì)被授權(quán)做更多事情，例如掃描社交媒體以獲取可利用的信息，或嘗試通過電子郵件從用戶那里獲取敏感數(shù)據(jù)，甚至嘗試欺騙獲取用戶的賬號(hào)權(quán)限等。

誤區(qū)8  所有滲透測試都大同小異

從本質(zhì)上講，滲透測試是一個(gè)主要依靠安全專家或團(tuán)隊(duì)以人工方式模仿攻擊者的真實(shí)攻擊行為，其目的是在數(shù)字化基礎(chǔ)設(shè)施的不同層級(jí)找到進(jìn)入可以攻破目標(biāo)網(wǎng)絡(luò)的最有效方法。根據(jù)測試方法和目標(biāo)的不同，滲透測試通常分為外部測試、內(nèi)部測試、盲測、針對(duì)性測試等。

很多企業(yè)為了節(jié)省成本，往往會(huì)選擇收費(fèi)更便宜的測試提供商和測試方式，并認(rèn)為各種類型測試的結(jié)果會(huì)很相似，但事實(shí)并非如此。與大多數(shù)服務(wù)一樣，滲透測試的程度差異很大，既有覆蓋網(wǎng)絡(luò)所有區(qū)域的廣泛測試，也有針對(duì)網(wǎng)絡(luò)中少數(shù)區(qū)域的非廣泛測試。企業(yè)應(yīng)該根據(jù)實(shí)際需求，專注于尋找從測試中獲得的價(jià)值，而不是成本。

誤區(qū)9  良好的測試結(jié)果意味著沒有問題

從測試中獲得一個(gè)好的結(jié)果只是一個(gè)良好的開始，但組織不應(yīng)該沾沾自喜，這也不代表企業(yè)的網(wǎng)絡(luò)安全防護(hù)工作高枕無憂。只要組織的數(shù)字化系統(tǒng)還在運(yùn)行，它就時(shí)刻會(huì)面臨各種不斷出現(xiàn)的新威脅。良好的測試結(jié)果只是肯定了過去建設(shè)的成績，并激勵(lì)組織繼續(xù)重視在安全方面的投入。企業(yè)應(yīng)該持續(xù)性進(jìn)行滲透測試，以消除新出現(xiàn)的威脅，并確保系統(tǒng)沒有威脅。

誤區(qū)10 滲透測試只適用于企業(yè)用戶