1.2 漏洞扫描、渗透测试和红队训练的误解
在本节中,我们将探讨传统/经典漏洞扫描、渗透测试和红队训练的误解和局限性。现在让我们开始简单阐述这三种方法的实际意义,并讨论它们的局限性。
·漏洞扫描(Vulnerability scanning,Vscan):它是一个识别系统或网络的安全漏洞的过程。关于漏洞扫描的一个误解就是它将让你知道所有已知漏洞,但这是不正确的。漏洞扫描的局限性在于只识别潜在的漏洞,且完全依赖于其利用的扫描工具类型,其中可能包括大量的误报。而对企业主而言,他们并不能借此预计相关的风险,更不能预测攻击者将首先利用哪个漏洞获得访问权限。
·渗透测试(Penetration testing,Pentest):它是一个安全地利用漏洞而不太影响现有网络或业务的过程。测试人员尝试并模拟漏洞利用后,误报的次数就会减少。渗透测试的不足是只能利用目前已知的公开漏洞,并且大部分都是以项目为重点的测试。在渗透测试中,我们经常听到“耶!得到Root权限”,但我们从来不问“下一步是什么”。原因可能有多种,如项目限制你立即向客户报告高风险问题,或者客户只关心网络的一部分,并希望你测试它。
关于渗透测试的一个误解是它提供了一个网络的完全的攻击者视图,并且一旦你进行了渗透测试就安全了。然而事实并非如此,例如攻击者发现了安全应用中业务流程中的漏洞。
·红队训练(Red Team Exercise,RTE):它是一个评价组织有效防御网络威胁并且通过各种方法提高其安全性的过程。在红队训练期间,我们注意到了实现项目目标的多种方式,例如针对项目目标活动进行完整覆盖,包括网络钓鱼、无线、丢弃盒(USB、CD以及SSD)和物理渗透测试等。使用红队训练的不足是它们具有时间限制、预定义的方案,以及假设而非真实的环境。通常,为了每一项技战术都按照程序执行,红队训练运行在完全监控的模式下,但当真实的攻击者想完成一个目标的时候,情况就不一样了。
通常,三种不同的测试方法都指向术语:黑客入侵或破解。我们将入侵网络,并暴露网络的弱点,但是,客户或企业主是否知晓这些网络被侵入或破解?我们如何衡量入侵或破解?有什么标准?我们何时才能知道入侵或破解完成。所有这些问题都指向一件事——什么是主要目标?