1.1.2 滲透測(cè)試流程

目前網(wǎng)絡(luò)安全滲透測(cè)試服務(wù)已經(jīng)演化出三種不同的測(cè)試服務(wù)：傳統(tǒng)滲透測(cè)試服務(wù)、安全眾測(cè)測(cè)試服務(wù)、紅藍(lán)對(duì)抗測(cè)試服務(wù)。這三類(lèi)滲透測(cè)試服務(wù)有如下表所示的優(yōu)點(diǎn)及缺點(diǎn)，它們的滲透測(cè)試服務(wù)流程也有所不同。

不同滲透測(cè)試服務(wù)的區(qū)別

在傳統(tǒng)滲透測(cè)試服務(wù)流程中共分為四個(gè)主要流程（如圖1-3所示）：測(cè)試前期準(zhǔn)備流程、測(cè)試階段實(shí)施流程、復(fù)測(cè)階段實(shí)施流程、成果匯報(bào)階段流程。在測(cè)試前期準(zhǔn)備過(guò)程中，滲透測(cè)試人員需要進(jìn)行前期技術(shù)溝通、確定測(cè)試對(duì)象、確定測(cè)試方式和時(shí)間、簽署授權(quán)書(shū)；在測(cè)試階段實(shí)施中滲透測(cè)試人員需要先進(jìn)行自動(dòng)化測(cè)試，接著進(jìn)行人工測(cè)試，在測(cè)試結(jié)束之后需要進(jìn)行成果收集整理、輸出及提交報(bào)告，隨后對(duì)報(bào)告內(nèi)容與客戶(hù)做及時(shí)有效的溝通。但在測(cè)試完畢之后并不意味著不需要再次測(cè)試，在用戶(hù)修復(fù)完畢所有滲透測(cè)試人員報(bào)告的漏洞、改善了一些安全問(wèn)題之后滲透測(cè)試人員需要再次對(duì)這些漏洞進(jìn)行測(cè)試來(lái)確認(rèn)企業(yè)是否真正修復(fù)了對(duì)應(yīng)的漏洞，這個(gè)流程我們稱(chēng)之為漏洞復(fù)測(cè)。在復(fù)測(cè)階段實(shí)施流程中，滲透測(cè)試人員需要先進(jìn)行二次復(fù)測(cè)，隨后提交自己的復(fù)測(cè)報(bào)告并就復(fù)測(cè)報(bào)告內(nèi)容再次與被滲透方進(jìn)行溝通。在以上流程均結(jié)束之后，滲透測(cè)試人員需要對(duì)整體滲透測(cè)試結(jié)果進(jìn)行一個(gè)最終匯報(bào)。

圖1-3 傳統(tǒng)滲透測(cè)試服務(wù)流程

安全眾測(cè)測(cè)試服務(wù)是眾包模式在安全滲透測(cè)試領(lǐng)域中的一種表現(xiàn)，引入眾測(cè)平臺(tái)中眾多白帽子的力量代替?zhèn)鹘y(tǒng)安全公司的服務(wù)人員，在目標(biāo)系統(tǒng)上展開(kāi)規(guī)定時(shí)間內(nèi)的懸賞滲透測(cè)試。由于參與測(cè)試的白帽子人員眾多并且每個(gè)白帽子所擅長(zhǎng)領(lǐng)域不同，在滲透測(cè)試過(guò)程中將會(huì)對(duì)漏洞探測(cè)得更加全面，同時(shí)由于漏洞都是按照個(gè)數(shù)及風(fēng)險(xiǎn)等級(jí)付費(fèi)的，性?xún)r(jià)比會(huì)較高。因此相較于傳統(tǒng)滲透測(cè)試服務(wù)流程，安全眾測(cè)測(cè)試服務(wù)流程引入了許多不同之處，如圖1-4所示。首先安全眾測(cè)服務(wù)商會(huì)和期望被眾測(cè)方展開(kāi)前期的交流、定制風(fēng)險(xiǎn)控制策略，并最終簽訂眾測(cè)合同。隨后安全眾測(cè)服務(wù)商會(huì)在眾測(cè)平臺(tái)內(nèi)發(fā)布對(duì)應(yīng)的眾測(cè)項(xiàng)目并召集全平臺(tái)白帽（或依照被眾測(cè)方意愿定向邀請(qǐng)部分白帽）展開(kāi)測(cè)試，隨后白帽會(huì)在平臺(tái)上提交指定系統(tǒng)的漏洞報(bào)告。接著安全眾測(cè)服務(wù)商會(huì)開(kāi)始進(jìn)行漏洞審核、漏洞定級(jí)操作并將確認(rèn)有效且定級(jí)之后的漏洞報(bào)送給被眾測(cè)方。被眾測(cè)方在收到漏洞之后會(huì)開(kāi)展漏洞確認(rèn)流程并進(jìn)行漏洞修復(fù)、漏洞復(fù)合操作。在安全眾測(cè)項(xiàng)目結(jié)束之后，安全眾測(cè)服務(wù)商會(huì)與被眾測(cè)方展開(kāi)交流，并將最終確認(rèn)的漏洞金額支付給平臺(tái)白帽子們。

圖1-4 安全眾測(cè)測(cè)試服務(wù)流程

在紅藍(lán)對(duì)抗測(cè)試服務(wù)中（如圖1-5所示），和傳統(tǒng)滲透測(cè)試服務(wù)相比引入了互相實(shí)時(shí)對(duì)抗的機(jī)制，能更加真實(shí)地模擬黑客攻擊及實(shí)時(shí)安全防御。在紅藍(lán)對(duì)抗中，紅隊(duì)模擬攻擊一方，藍(lán)隊(duì)模擬內(nèi)部防御一方，在互相對(duì)抗的過(guò)程中可以注意到日常生活中所沒(méi)有注意到的風(fēng)險(xiǎn)點(diǎn)，不斷提升企業(yè)系統(tǒng)的防御能力。當(dāng)然由于有藍(lán)隊(duì)的測(cè)試角色，故紅藍(lán)對(duì)抗測(cè)試服務(wù)流程也與傳統(tǒng)滲透測(cè)試服務(wù)流程有一些根本性的差異。在與客戶(hù)需求對(duì)接、簽訂合同之后，紅藍(lán)兩方都要開(kāi)展對(duì)目標(biāo)環(huán)境的信息收集匯總。之后藍(lán)隊(duì)需要定制自己的防守路線、紅隊(duì)需要規(guī)劃自己的攻擊行動(dòng)路線。隨后紅隊(duì)將會(huì)展開(kāi)執(zhí)行滲透任務(wù)、橫向權(quán)限擴(kuò)大、滲透報(bào)告編寫(xiě)的流程（藍(lán)隊(duì)將會(huì)展開(kāi)執(zhí)行防守任務(wù)、抵御入侵并實(shí)時(shí)修復(fù)系統(tǒng)漏洞、防守報(bào)告編寫(xiě)的流程）。最后紅隊(duì)及藍(lán)隊(duì)將會(huì)和被測(cè)試企業(yè)一起展開(kāi)安全威脅復(fù)測(cè)、復(fù)盤(pán)的工作。

圖1-5 紅藍(lán)對(duì)抗測(cè)試服務(wù)流程