|
PTES滲透測試執行標準是由安全業界多家領軍企業技術專家所共同發起的,期望爲企業組織與安全服務提供商設計並制定用來實施滲透測試的通用描述準則。PTES標準項目網站爲http://www.pentest-standard.org/,從2010年11月開始(目前還處於開發階段),目前已經發布了BETA RELEASE版本。 PTES標準中定義的滲透測試過程環節基本上反映了安全業界的普遍認同,具體包括以下7個階段。 |
1.前期交互階段 |
|
在前期交互(Pre-Engagement Interaction)階段,滲透測試團隊與客戶組織進行交互討論,最重要的是確定滲透測試的範圍、目標、限制條件以及服務合同細節。 該階段通常涉及收集客戶需求、準備測試計劃、定義測試範圍與邊界、定義業務目標、項目管理與規劃等活動。 |
2.情報蒐集階段 |
|
在目標範圍確定之後,將進入情報蒐集(Information Gathering)階段,滲透測試團隊可以利用各種信息來源與蒐集技術方法,嘗試獲取更多關於目標組織網絡拓撲、系統配置與安全防禦措施的信息。 滲透測試者可以使用的情報蒐集方法包括公開來源信息查詢、Google Hacking、社會工程學、網絡踩點、掃描探測、被動監聽、服務查點等。而對目標系統的情報探查能力是滲透測試者一項非常重要的技能,情報蒐集是否充分在很大程度上決定了滲透測試的成敗,因爲如果你遺漏關鍵的情報信息,你將可能在後面的階段裏一無所獲。 |
3.威脅建模階段 |
|
在蒐集到充分的情報信息之後,滲透測試團隊的成員們停下敲擊鍵盤,大家聚到一起針對獲取的信息進行威脅建模(Threat Modeling)與攻擊規劃。這是滲透測試過程中非常重要,但很容易被忽視的一個關鍵點。 通過團隊共同的縝密情報分析與攻擊思路頭腦風暴,可以從大量的信息情報中理清頭緒,確定出最可行的攻擊通道。 |
4.漏洞分析階段 |
|
在確定出最可行的攻擊通道之後,接下來需要考慮該如何取得目標系統的訪問控制權,即漏洞分析(Vulnerability Analysis)階段。 在該階段,滲透測試者需要綜合分析前幾個階段獲取並彙總的情報信息,特別是安全漏洞掃描結果、服務查點信息等,通過搜索可獲取的滲透代碼資源,找出可以實施滲透攻擊的攻擊點,並在實驗環境中進行驗證。在該階段,高水平的滲透測試團隊還會針對攻擊通道上的一些關鍵系統與服務進行安全漏洞探測與挖掘,期望找出可被利用的未知安全漏洞,並開發出滲透代碼,從而打開攻擊通道上的關鍵路徑。 |
5.滲透攻擊階段 |
|
滲透攻擊(Exploitation)是滲透測試過程中最具有魅力的環節。在此環節中,滲透測試團隊需要利用他們所找出的目標系統安全漏洞,來真正入侵系統當中,獲得訪問控制權。 滲透攻擊可以利用公開渠道可獲取的滲透代碼,但一般在實際應用場景中,滲透測試者還需要充分地考慮目標系統特性來定製滲透攻擊,並需要挫敗目標網絡與系統中實施的安全防禦措施,才能成功達成滲透目的。在黑盒測試中,滲透測試者還需要考慮對目標系統檢測機制的逃逸,從而避免造成目標組織安全響應團隊的警覺和發現。 |
6.後滲透攻擊階段 |
|
後滲透攻擊(Post Exploitation)是整個滲透測試過程中最能夠體現滲透測試團隊創造力與技術能力的環節。前面的環節可以說都是在按部就班地完成非常普遍的目標,而在這個環節中,需要滲透測試團隊根據目標組織的業務經營模式、保護資產形式與安全防禦計劃的不同特點,自主設計出攻擊目標,識別關鍵基礎設施,並尋找客戶組織最具價值和嘗試安全保護的信息和資產,最終達成能夠對客戶組織造成最重要業務影響的攻擊途徑。 在不同的滲透測試場景中,這些攻擊目標與途徑可能是千變萬化的,而設置是否準確並且可行,也取決於團隊自身的創新意識、知識範疇、實際經驗和技術能力。 |
7.報告階段 |
| 滲透測試過程最終向客戶組織提交,取得認可併成功獲得合同付款的就是一份滲透測試報告(Reporting)。這份報告凝聚了之前所有階段之中滲透測試團隊所獲取的關鍵情報信息、探測和發掘出的系統安全漏洞、成功滲透攻擊的過程,以及造成業務影響後果的攻擊途徑,同時還要站在防禦者的角度上,幫助他們分析安全防禦體系中的薄弱環節、存在的問題,以及修補與升級技術方案。 |
| 在安全漏洞生命週期中,從安全漏洞被發現到廠商發佈補丁程序用於修補該漏洞之前的這段期間,被安全社區普遍地稱爲“0day”。由於在這段時間內,黑客們攻擊存有該安全漏洞的目標可以達到百分之百的成功率,同時也可以躲避檢測,因此“0day”的安全漏洞和對應的滲透代碼對於黑客社區具有很高的價值,挖掘“0day”安全漏洞並給出滲透代碼也成爲高水平黑客的追求目標。即使在廠商發佈了針對該安全漏洞的補丁程序和安全警報後,補丁程序也需要一段時間被接受、下載和應用,而一些不負責任的系統管理員很可能永遠也不會去更新他們的系統,因此一些已公佈的安全漏洞及相應的滲透代碼對於無論“黑帽子”,還是職業的滲透測試者而言都仍然具有價值。 |