其实发现漏洞只是服务的第一步,验证哪些漏洞是可以被利用的,可以被利用到什么程度,才是渗透服务真正应该回答的,比如能获取系统管理员权限,能篡改系统数据,能植入木马等等,这样用户对漏洞的威胁有切身的体会了。

  渗透服务是模拟黑客入侵,但不是真正的入侵,作为商业服务,用户如何确定渗透服务的考核目标呢?我们先来分析一下黑客攻击的方式。

  从入侵攻击的流程,可以看出,入侵攻击分为几种目标类型:

  1、正面攻击:DDOS攻击无论是针对网络入口的带宽,还是针对服务的处理能力(也称CC攻击),表现形式都是正面攻击,造成的损害,用户一目了然。

  2、隐蔽型入侵:进入的方式多种多样,可以社会工程、垃圾邮件、漏洞溢出、密码猜解等,目的都是要悄悄进入到目标的内部,从进入目标后的行为可分为:

  a)窃取特定目标信息:直接收集目标信息,如QQ账户密码、银行卡密码、特定的用户文件等,通过邮件、访问特定网站等方式发送回家后销毁自己,消除痕迹;

  b)控制“肉鸡”:隐蔽自己,建立后门通道,接受并执行远程控制命令,可以远程操作此计算机;

  c)篡改特定目标信息:直接对目标信息修改为自己设定的,如数据库的数据、系统特定文件等,然后自毁,消除痕迹。此类入侵常常是为其他入侵方式做好准备;

  d)特定任务:长期潜伏,把自己隐藏起来,等到条件成熟,实施动作,如逻辑炸弹、修改系统信息等;

  隐蔽型入侵中如何隐藏自己不被发现,或延长被发现的时间是很关键的,尤其是特定任务类型是作为APT攻击的必要手段,隐藏自己与反复入侵都是必然的选择,常用的技术如rootkit、进程注入、驱动钩子等。入侵者一旦入侵成功,常常制造多个潜伏点,分别设置好触发条件,相互监视,只要不被全部发现,可以死灰复燃,终实现预定任务。

  针对不同类型的入侵攻击方式,渗透服务关注的重点显然是不同的:

  1、正面攻击:渗透服务需要发现可以被正面攻击的关键点,以及不同攻击强度对业务所产生的影响;

  2、隐蔽型入侵:渗透服务不仅要发现可能入侵的通道,即可被成功利用的漏洞,而且要验证入侵后可能造成的损失,后还要发现系统内是否已经存在的入侵。

  有关正面攻击的测试服务,目前需求见到的还不多,很多系统建设者是通过处理能力的理论计算得出的这一数据的。但是,作为提供公众服务、云计算等服务的企业,应该更为确切地了解自己系统内的薄弱点所在,以及它所能承受攻击能力的限度,并实施实时监控。这好比建设的大坝可以抵御多少年一遇的大洪水,建造的大楼可以抵御几级地震一样。

  在很多情况下,业务的突发性增长,与系统受到了CC攻击,其冲击效果是很相似的。

  针对隐蔽型入侵,渗透性服务交付的成果有趣的,因为你是否有能力进入是一方面,你是否可以成功地窃取、成功的篡改是另外一个方面。在信息安全方面,你进入了目标系统也只是有了成功窃取与篡改的可能性而已,而后面的工作往往不是你成功利用了那个漏洞可以解决的。

  从上面对入侵攻击结果的分析总,我们得出渗透服务的交付应该是具有“结果效应”的,即需要达到的终目标:

  ● 窃取到目标内的特定信息

  ● 修改了目标内的特定信息

  ● 建立了远程控制目标的后门通道

  ● 成功潜伏在目标内没有被发现