选择渗透目标-渗透测试的起点

渗透服务是为了验证漏洞的可被利用性,以及被利用的程度,即所能造成的威胁有多大。企业信息安全防御体系面临的攻击是多方面的,不仅有来自外部的入侵,而且有来自内部各类人员的窃取与篡改。如何选择渗透的起点,模拟入侵者的角色很重要。
不同角色的人对信息防御体系知悉的程度差异很大,了解得越多,绕过防御措施越容易,入侵相对容易,花费时间也较少。
作为一种商业安全服务,选择不同的角色,意味着攻击难度的不同,工作量的不同,最终完成目标的渗透时间也就不同,渗透的效果也可能不同。
不衡量技术难度与工作量,就无法确定服务的商业价值,若一味追求低价政策,渗透服务商无法提供高水平的渗透人员参与,无法使用高技术含量、最新安全技术工具,渗透服务的质量就会大打折扣,从而无法验证安全漏洞可带来的威胁程度,也失去了渗透服务的意义。
一、按角色分类:
角色就是模拟入侵者的身份。确定角色,可以确定渗透者对目标网络架构、安全体系、业务逻辑了解的程度,了解得越多,意味着越接近目标。
渗透的技术难度则主要看目标的安全防御体系是否完善,一般来讲,渗透内网业务服务器比互联网上的服务器难度大,对防御完善的系统渗透技术难度明显加大。
根据渗透者的角色,渗透服务可以分为:
1、 自由渗透:对被入侵者了解只限于从公众信息媒体中了解到的,一般是从互联网发起渗透。用户对渗透服务也许没有明确的目标,就是要检验自己防护系统的漏洞,渗透者可以篡改页面,可以控制“肉鸡”,也可以自己选择目标服务器;
2、普通用户:作为用户业务的普通用户,可以从互联网,也可以从内网的一个终端发起渗透。对用户网络架构部分了解,对安全体系不了解,对用户业务系统有所了解。用户渗透目标明确,一般就是业务系统敏感信息窃取;
3、网管人员:用户内部的运维管理人员。一般从内网开始渗透,对网络、安全机制都很熟悉。渗透服务的目标很明确,就是验证安全监控体系是否可以察觉、是否可以取证内部人员的窃密行为;
4、管理人员:主管人员一般拥有网络内部高级访问权限,熟悉内部网络与安全机制。渗透服务主要验证内部安全审计措施是否完善,若对用户业务流程有一定了解,可以验证业务流程中的安全控制机制是否完善;
5、 第三方维护人员:外包运维服务是很多企业所采用的,作为运维人员,对用户内部 的部分系统非常熟悉,如网络维护者、安全维护者、业务系统维护者、服务器维护者、办公系统维护者,正常情况下对其他系统并不熟悉,但他们有很多机会接触到 其他系统的维护人员,工作空间也可能是交叉的。渗透服务主要是验证对第三方运维人员管理上的安全漏洞;
下表是不同渗透服务类型,在通常情况下的技术难度与工作量(若目标安全防御体系完善时,技术难度应该提高一个等级):
目标
渗透渠道
用户信息
技术难度
技术工作量
自由渗透
不明确
互联网
不熟悉,通过Google/百度搜索信息
普通用户
明确
内网/互联网
部分熟悉
网管人员
明确
内网
熟悉
管理人员
明确
内网
熟悉
第三方维护
明确
内网/互联网
部分熟悉
二、按渗透目标分类
影响渗透服务时间与效果的,不仅有渗透者的角色,而且还有渗透目标的类型,直接体现在渗透过程中的技术难度差异。
渗透服务的技术难度,与目标的位置有关,门户网站直接暴露在互联网上,而业务核心数据库则在企业安全性最好的机房内部;与目标的种类有关,如 Windows、Linux、专用系统等;与目标业务类型有关,如Ftp服务、Http服务、OA系统、数据库等;与目标的安全防御措施有关,如NAT地 址隐藏、防火墙策略、VPN认证、主机安全监控等。
1、 门户网站:面对互联网,从技术难度的角度排序应该是:页面挂马、网页被篡改、服务器成“肉鸡”、成为入侵内部网络的跳板;
2、  邮件系统:邮箱是信息通讯的必备工具,最为突出的问题是邮箱密码被破解;当然邮件服务器也是被渗透的目标;
3、  业务主机:业务处理服务器、资源下载服务器、DNS服务器等等,主机最担心的是被人安装木马收集信息,或成为“肉鸡”;
4、   特定用途主机:可以是资料服务器,可以是某业务主管的个人电脑,入侵该主机为了就是窃取敏感信息;
5、  业务系统:针对某业务系统的入侵,可以入侵业务服务器,或者数据库服务器,也可以获取该业务管理员的账户口令,或者是高级业务用户登录权限,其目的是下载业务数据、非授权操作业务流程、篡改特定业务数据等等;如电子商务计费系统、ERP系统、软件版本管理服务器等;
6、网络或安全设备:针对网络或安全设备的渗透不是很多,但危害很大,破译密码后,可以直接修改网络路由与安全策略,让后续的其他渗透工作顺利通过;
7、 网络基本服务系统:针对CA证书系统、DNS服务器、网管系统等的渗透,一般不为用户所关注,但这些维护网络正常运转的网络服务系统一旦被入侵,影响面很大,可以在短时间内迅速成功渗透到其他各个业务系统或主机;
下表是不同渗透服务类型,在通常情况下的技术难度与工作量(若目标安全防御体系完善时,技术难度应该提高一个等级):
工作量小
工作量中
工作量大
技术难度小
(网站)网页挂马
(网站)篡改网页
技术难度中
邮箱入侵(邮件系统)
业务系统
特定用途主机(终端)
技术难度大
邮件系统主机
业务主机(木马)
特定用途主机(服务器)
(网站)控制主机
网络和安全设备

本文作者Jack zhai转自红黑联盟 由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。