滲透測試：有效發現系統漏洞的網路安全試金石

2024年5月,駭客 IntelBroker和 Sanggiero聲稱,他們已經成功侵入英國金融巨頭匯豐銀行和巴克萊銀行的內部網路,並竊取了大量的敏感數據。Hackread.com證實,這些被竊取的資訊已經在駭客論壇Breach Forums上被洩露。

隨著全球資訊化的發展,網路攻擊、資訊洩露、網路詐騙等問題頻發,對個人隱私和企業機密構成了嚴重威脅。有數據顯示,全球500強公司的價值,有80%來自智慧財産權和其他無形資産,這意味著資産數字化帶來便捷的同時,也帶來了巨大的安全風險。

如何在加快企業數字化的同時,還能保證數字資産的安全,成了擺在企業管理人員面前最重要的問題。

滲透測試:網路安全“試金石”

很多企業雖然意識到了網路安全的重要性,但在實際工作中,卻面臨很多問題:

首先是人員的專業性。在企業的實際運作中,對於資訊化系統更偏重於使用。所以,在人員配置上,也更注重系統管理和應用方面。這就造成了資訊系統日常使用和維護沒問題,一旦遇到突發的、有目的性的網路攻擊,缺少精準、高效的應對方案和手段。

其次是人員成本問題。駭客一般都技術水準較高,“有備而來”,企業如果要招聘能應對大多數駭客手段的技術人員,往往需要更高的薪酬待遇。對於很多企業而言,因駭客攻擊等小概率事件而配備全職的資訊安全團隊,是不合算的。

並且在日常工作中,系統維護管理人員往往並非開發人員,對於資訊化系統缺乏足夠全面的認知。讓他們在面對突發性入侵事件時,容易找不到問題根源,造成不必要的損失。

如何解決這些問題?中國金融認證中心(CFCA)網路安全專家介紹,滲透測試是一種有效發現系統漏洞、保障網路的措施,可應對上述問題。

滲透測試是由專業的安全服務人員模擬駭客攻擊時常用的技術手段,對目標系統發起的模擬駭客攻擊行為。其目的在於充分挖掘和暴露系統的弱點,讓系統維護管理人員了解面臨的威脅。

首先,由於主持滲透測試的測試人員具備豐富的安全經驗和技能,所以其針對性比常見的脆弱性評估會更強,粒度也會更為細緻。

其次,一般的系統維護管理員由於缺乏網路攻防經驗和專業攻防技能與知識,無法發現一些安全缺陷可能導致的嚴重問題。但專業的測試人員可以憑藉豐富的經驗和技能,把一系列看似無關聯且不嚴重的缺陷串聯起來,發現最終的問題並解決。

第三,滲透測試是一個從空間到面、再到點的過程。測試人員模擬駭客的入侵,從外部整體切入,最終落到某個威脅點並加以利用,進而對整個網路産生威脅。以此明確整體系統中的安全隱患點。

在這個過程中,測試人員會與系統維護管理人員進行全程溝通。從實際入手演示風險,有效激發管理人員“杜絕任何細小缺陷”的風險意識。另外,管理人員通過對安全問題的跟進,可對安全問題産生的原因、被利用的場景、可能導致的危害等有詳細了解,從而提升安全認知,後續遇到類似或相關安全問題時可更加從容地應對。

完成系統各個部分的滲透測試後,測試機構會出具詳細的《滲透測試報告》。不僅針對每種威脅、漏洞利用進程進行詳細描述,還包含解決方案和安全建議,為管理員化解威脅、修補漏洞提供重要參考。

由於滲透測試專業性很強,開展難度較大,在進行相關測試時,要尋找專業、合規的第三方機構,確保測試結果的獨立、公正、客觀、全面。在國內,一般會委託權威、專業、有口碑的資訊安全機構,如中國金融認證中心(CFCA),來實施網路系統的滲透測試。

據了解,CFCA是由中國人民銀行于1998年牽頭組建,經國家資訊安全管理機構批准成立的權威電子認證機構,也是我國重要的資訊安全基礎設施之一。CFCA滲透測試內容主要包括對作業系統、應用服務的已知漏洞、不安全配置以及Web應用系統的常見WEB漏洞、業務邏輯漏洞測試。

CFCA滲透測試的核心優勢是擁有一支高素質的資訊安全專業技術人才隊伍,大部分工程師都擁有多年的資訊安全服務工作經驗和資訊安全産品開發經驗。資深的資訊安全工程師擁有十年以上的資訊安全技術和管理經驗。這使得CFCA在從事資訊安全服務工作中多次為客戶留下技術過硬、業務精通、管理經驗豐富的印象。