用戶如何獲得***服務
----***服務實施步驟與***效果分級
Jack zhai
***服務的步驟;
***服務需要模擬***與***,因此不同於其它的信息安全服務,其過程控制要嚴格得多。在確保用戶業務運行安全的前提下,在整個操作過程可控制的前提下,按照預先約定的步驟進行,若發現突發性問題,可以立即終止***服務,迅速恢復現場。
獲得***服務一般步驟如下:
1. 立項:用戶提出***測試服務需求,招標或議標,確定服務提供商;
2. 授權:簽訂***服務授權書,允許***服務商在規定的時間段內,對協議的目標進行***測試的相關活動;
3. 目標:明確***服務的具體目標,確定具體的***方式,對***的影響進行評估;評估***服務的工作量與技術難度;
4. 合同:簽訂***服務的商務合同;
5. 準備:提供***所需的目標信息,選擇合適的***場所,準備***所需的各種工具(***服務中使用的所有***類工具,全部由***服務商自己配備,由專業的***工作人員操作,不銷售、不拷貝給其他人員,包括用戶方);
6. ***:具體的***工作,一般是隱蔽的,用戶不增加比平時維護更多的關注;
7. 總結:時間到期,或***提前成功,評估結果,編寫總結報告,給出整改建議報告;
8. 彙報:***服務商把***的過程與結果、建議向用戶彙報,可以展示***的有關結果截圖,或直接查看系統狀態;
9. 清理:恢復修改過的目標配置,恢復修改過的數據與文件,徹底清除現場使用過的***工具拷貝;
10. 結束:***服務結束。***服務商交回所有涉及用戶的資料,並承諾對***過程中得知的用戶敏感信息保密,不向第三方擴散。
衡量***服務的效果:
***服務的交付結果應該是“用戶可以理解的”,作爲***的最終結果,可以通過下面四種服務目標來驗證***的效果:
Ø 竊取到目標內的特定信息;
Ø 修改了目標內的特定信息;
Ø 建立了遠程控制目標的後門通道;
Ø 成功潛伏在目標內沒有被發現;
如何衡量***服務的效果?
作爲安全服務,並非在規定的時間內都可以完成預定的***任務,爲了可以衡量***服務的質量,根據***的實現程度把***服務的效果如下分級:
Ø 0級:沒有發現可利用的漏洞
n 沒有發現可以利用的漏洞,包括技術漏洞與管理漏洞;
n 發現了漏洞,但沒有利用成用成功;
Ø 1級:利用漏洞成功,但***獲得權限有限,無法進行深入工作
n 發現了應用類的漏洞,利用後獲得權限有限,無法獲取系統控制權限;
n 發現了管理類漏洞,但無法獲得技術上進一步的突破;
n 利用漏洞時,被用戶監控系統及時發現並阻止,無法進一步***;
n 獲得部分終端或普通服務器等的權限,但還沒有到達目標系統;
Ø 2級:進入目標系統,但未完成特定的任務
n 拿到服務器控制權限,但未完成目標任務;
n 進入用戶應用系統,但沒有成功訪問到用戶敏感數據區域;
n 控制了與目標賬戶類似的賬戶,但沒有獲得目標賬戶控制權;
n 拿到目標特定信息,但無法回家(與***着建立聯絡)完成任務;
Ø 3級:基本完成***目標任務
n 獲取目標特定信息,併成功發送回家;
n 成功修改目標特定信息;
n 成功安裝目標控制後門,可以控制“肉雞”;
n 成功潛伏在目標內,並設置了激活條件;
Ø 4級:完成***任務,並在規定時間內到達如下要求
n 目標特定信息已經成功泄漏,從第三方知道自己的信息泄漏;
n 正常的監控狀態下,發現目標信息被篡改時,篡改時間超過2小時;
n 發現目標被遠程作爲“肉雞”控制時,***者已經成功進行一次或多次遠程控制操作,達到既定目標;
n 在規定***服務時間內,潛伏***者沒有被發現;若用戶服務要求潛伏者必須激活動作,激活後被發現時的已經時間超過2小時;
***效果的取得與限定的***服務時間長度有很重要的關係,尤其是模擬APT***的***,需要躲避用戶信息安全防護體系的種種監控,不驚擾被***的目標人,一般不能直接掃描或暴力破解,採用慢掃描、誘騙等方式逐步***,有時時間可以長達幾個月,因此,要達到第4級***效果一般很難,若是用戶簽訂長期的***服務合同,或許可以獲得滿意的效果。
考覈***服務團隊的技術實力:
***服務對服務團隊的技術能力要求很高,如何區別因用戶防禦能力造成的***服務效果不佳,還是***服務團隊能力不夠造成的***服務效果不佳,應區分以下幾種情況:
1、同一個的***團隊對同一系統的多次***,***效果的級別應該是越來越低。因爲每次***服務之後,用戶會有針對性地加強防禦,可以利用的漏洞越來越少;但兩種情況應除外:第一,用戶上線新系統;第二,用戶沒有針對***服務進行整改。
2、不同***團隊對同一個系統的***,***服務效果的級別越低,說明***團隊的表現越差。