更有效的渗透测试 更简单的安全

TechTarget中国 发表于:12年05月02日 15:51 [转载] 51CTO

  • 分享:
[导读]奥兰多报导——据某位安全专家兼作者表示,企业在信息安全技术上投入巨资,却未能扭转不断受到攻击这一局面。在2012年的信息安全世界会议及博览会上,该专家极力主张2500多名与会者通过实施更有效的渗透测试来反思他们的风险优先级理念。

奥兰多报导——据某位安全专家兼作者表示,企业在信息安全技术上投入巨资,却未能扭转不断受到攻击这一局面。在2012年的信息安全世界会议及博览会上,该专家极力主张2500多名与会者通过实施更有效的渗透测试来反思他们的风险优先级理念。

“就我所知我们是唯一不断地投入越来越多金钱的行业,然而我们的问题每况愈下。”Dave Kennedy说到。他是位于北坎敦俄亥俄州的Diebold有限公司的副总裁兼全球风险及安全CSO。“我们增加预算、扩大投入,每次购买的产品都是大会的时髦术语。”

Kennedy是一名渗透测试人员、也是《Metasploit:渗透测试人员指导》一书的作者,他用他开发的社交工程工具软件Toolkit演示了好几种攻击。在不到一分钟内Kennedy用该工具克隆了某个web站点,使用合法的数字签名瞄准了某个受害者的机器。他展示了如何快速地完全控制该员工电脑,以及简单地使用HTTP连接来窃取数据,这些都是通过完全模拟浏览器做到的。

“你们的安全技术没有阻止这些攻击,而且这种类型的黑客攻击来说我不太擅长,”Kennedy表示。“许多孩子在这种技术表现非凡,他们不仅仅是脚本小子,他们正在变成老练的攻击者”。

Kennedy表示,大多数的CISO和安全从业人员幻想拥有戒备森严护城河的城堡将外来的攻击者拒之门外,但是合规遵从和安全技术增加了复杂性,使得安全要解决的那些危险愈加复杂。“我们整个失去了平衡,我们的专注点在于合规性,当无法确保那些需要保障的资产安全时,就从厂商那里购买产品”。

Kennedy提倡使用渗透测试执行标准(Penetration Testing Execution Standard,简称PTES),该标准及成熟度模型是在两年前的ShmooCon黑客大会上设计的。PTES用于为公司和安全服务提供商提供一个通用的语言和范畴,完成渗透测试。他谈到目前有6000人参与到PTES的制定中,公司可以利用该标准提出特定的要求,来评估渗透测试人员。

渗透测试不应该仅仅关注于漏洞扫描,Kennedy谈到。相反,牢靠的渗透测试应该产生有意义的数据,能够展现战略性的调查结果,这些结果应该能解决大多数的根本问题。通常经过渗透测试的企业,只是以发现1500个系统漏洞的海量报告告终,而没有解决这些问题根源的真正方法,Kennedy表示。

“渗透测试应该是不拘泥的、而且要模拟攻击者的行为”,Kennedy谈到。“我们需要摆脱所有这些昂贵技术的禁锢,它们仅是帮助你推测位于中国的某个人是如何在凌晨2点使用零日攻击黑了你的系统。那不起作用”。

渗透测试应该包括正式使用前的交互,Kennedy谈到。在这个过程中渗透测试人员收集情报,懂得公司如何赚取利润。威胁建模有助于弄清楚哪些攻击方式会对公司造成最大的影响。漏洞分析寻找系统弱点,发现旨在获得内部网络访问的精确攻击,它们接着取得敏感数据,对公司业务造成巨大破坏。

“这在于如何传达信息。它不是借助于一个长达1500页的报告,因为在这些报告中90%的调查结果是废话”,Kennedy说到:“你需要认识到公司有哪些体系上的问题,并且这些测试人员花多长时间可以将数据带出公司”。

会议的与会者普遍对PTES表示乐观,并且表示它可以减少渗透测试项目中聘请出价最低的人的常见做法。运行漏洞扫描软件、并且尝试解决所有这些结果并不奏效,D. David Orr谈到。他是美国联邦存款保险公司风险管理监督部门的IT检查分析员。Orr说他知道一些银行和信用合作社因为缺乏内部的专家意见而奋战于800页的报告,还在不断投入费用。“翻阅这些报告你可以看到有许多虚假的积极。我建议他们从不要如此纠结开始。”

[责任编辑:黄辉]
大黄
以备份起家的CommVault近两年的解决方案不断向更全面的数据保护转型,并对数据管理、数据挖掘也有了一些关注。CommVault中国区技术总监蔡报永接受采访时表示CommVault将继续做一家专注做数据管理和信息管理的软件厂商。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.