渗透测试:有效发现系统漏洞的网络安全试金石
2024年5月,黑客 IntelBroker 和 Sanggiero声称,他们已经成功侵入英国金融巨头汇丰银行和巴克莱银行的内部网络,并窃取了大量的敏感数据。Hackread.com证实,这些被窃取的信息已经在黑客论坛Breach Forums上被泄露。
随着全球信息化的发展,网络攻击、信息泄露、网络诈骗等问题频发,对个人隐私和企业机密构成了严重威胁。有数据显示,全球500强公司的价值,有80%来自知识产权和其他无形资产,这意味着资产数字化带来便捷的同时,也带来了巨大的安全风险。
如何在加快企业数字化的同时,还能保证数字资产的安全,成了摆在企业管理人员面前最重要的问题。
渗透测试:网络安全“试金石”
很多企业虽然意识到了网络安全的重要性,但在实际工作中,却面临很多问题:
首先是人员的专业性。在企业的实际运作中,对于信息化系统更偏重于使用。所以,在人员配置上,也更注重系统管理和应用方面。这就造成了信息系统日常使用和维护没问题,一旦遇到突发的、有目的性的网络攻击,缺少精准、高效的应对方案和手段。
其次是人员成本问题。黑客一般都技术水平较高,“有备而来”,企业如果要招聘能应对大多数黑客手段的技术人员,往往需要更高的薪酬待遇。对于很多企业而言,因黑客攻击等小概率事件而配备全职的信息安全团队,是不合算的。
并且在日常工作中,系统维护管理人员往往并非开发人员,对于信息化系统缺乏足够全面的认知。让他们在面对突发性入侵事件时,容易找不到问题根源,造成不必要的损失。
如何解决这些问题?中国金融认证中心(CFCA)网络安全专家介绍,渗透测试是一种有效发现系统漏洞、保障网络的措施,可应对上述问题。
渗透测试是由专业的安全服务人员模拟黑客攻击时常用的技术手段,对目标系统发起的模拟黑客攻击行为。其目的在于充分挖掘和暴露系统的弱点,让系统维护管理人员了解面临的威胁。
首先,由于主持渗透测试的测试人员具备丰富的安全经验和技能,所以其针对性比常见的脆弱性评估会更强,粒度也会更为细致。
其次,一般的系统维护管理员由于缺乏网络攻防经验和专业攻防技能与知识,无法发现一些安全缺陷可能导致的严重问题。但专业的测试人员可以凭借丰富的经验和技能,把一系列看似无关联且不严重的缺陷串联起来,发现最终的问题并解决。
第三,渗透测试是一个从空间到面、再到点的过程。测试人员模拟黑客的入侵,从外部整体切入,最终落到某个威胁点并加以利用,进而对整个网络产生威胁。以此明确整体系统中的安全隐患点。
在这个过程中,测试人员会与系统维护管理人员进行全程沟通。从实际入手演示风险,有效激发管理人员“杜绝任何细小缺陷”的风险意识。另外,管理人员通过对安全问题的跟进,可对安全问题产生的原因、被利用的场景、可能导致的危害等有详细了解,从而提升安全认知,后续遇到类似或相关安全问题时可更加从容地应对。
完成系统各个部分的渗透测试后,测试机构会出具详细的《渗透测试报告》。不仅针对每种威胁、漏洞利用进程进行详细描述,还包含解决方案和安全建议,为管理员化解威胁、修补漏洞提供重要参考。
由于渗透测试专业性很强,开展难度较大,在进行相关测试时,要寻找专业、合规的第三方机构,确保测试结果的独立、公正、客观、全面。在国内,一般会委托权威、专业、有口碑的信息安全机构,如中国金融认证中心(CFCA),来实施网络系统的渗透测试。
据了解,CFCA是由中国人民银行于1998年牵头组建,经国家信息安全管理机构批准成立的权威电子认证机构,也是我国重要的信息安全基础设施之一。CFCA渗透测试内容主要包括对操作系统、应用服务的已知漏洞、不安全配置以及Web应用系统的常见WEB漏洞、业务逻辑漏洞测试。
CFCA渗透测试的核心优势是拥有一支高素质的信息安全专业技术人才队伍,大部分工程师都拥有多年的信息安全服务工作经验和信息安全产品开发经验。资深的信息安全工程师拥有十年以上的信息安全技术和管理经验。这使得CFCA在从事信息安全服务工作中多次为客户留下技术过硬、业务精通、管理经验丰富的印象。
