但如何安全可控的开展渗透测工作却困扰着许多企事业单位的安全负责人。对于政企单位而言,渗透测试服务实施存在高风险,作为项目发起方如何对渗透测试服务进行监管,以保障测试安全?
安全厂商在实施渗透测试过程中,如何保障参测试人员身份可信?如何评判参测人员的技术水平、全面了解他们的项目参与情况?在渗透测试服务过程中,一旦发生因人为因素而造成安全事故,如何快速响应,将危害降至最低,后续又该如何追责?如何保障在渗透测试中发现的安全隐患全部上交?这一系列问题,都被打上了问号。
恰逢不久前,业内头部安全厂商启明星辰集团旗下子品牌云众可信发布了启明星辰“云众可信渗透测试管控平台”。带着这一系列问题,安全419采访了启明星辰云众可信产品经理吴纪轩,邀请他对当前行业渗透测试服务的现状及云众可信渗透测试管控平台的相关实践进行了观点分享。
测试人员行为“黑箱”
已成为渗透测试中长期存在的痛点问题
吴纪轩介绍,随着互联网安全风险与日剧增,安全问题复杂性日益加大。防火墙、入侵检测等传统网络安全手段,虽然能够实现对网络异常行为的管理和监测,但是这些传统设备均不能对已授权的正常内部网络访问行为进行监控。
在传统的安全测试模式下,在实施渗透测试任务中或者事后,一旦发生安全事件,往往很难对安全事件原因进行定位、溯源和追责。测试人员行为管控和监管缺失,导致测试人员行为“不可见、不可查、不可控、不可审计、不可溯源” 的问题,已成为当前行业中面临的一大挑战。
吴纪轩指出,在当前渗透测试服务市场中,虽然测试人员大都是来自于各大主流的安全服务厂商,但考虑到网络安全领域的特殊性,往往测试人员之间的经历过的项目经验不同,导致个体技术水平和素养存在一定的差距。在整个服务项目的过程中,个别人员“浑水摸鱼”也并不少见。这就导致了渗透测试服务的效果不及预期,与甲方期望不匹配。
他认为,这一系列问题背后的根源是当前行业缺乏一套通用的行业标准,以至于用户在采购安全服务时难以度量渗透测试服务的结果,以及最终能够达到一个什么样的安全水准。
因此,随着线上安全测试需求的剧增,为了帮助企业用户解决在安全管控中存在的管理不可见、不可控、人为风险高等问题,帮助用户将渗透测试服务过程中的人员身份的风险、工具的风险、行为的风险等全部纳入管控,启明星辰“云众可信渗透测试管控平台”应运而生。
对人员身份、测试行为全面管控
保障全过程“可见、可控、可审计、可溯源”
作为业内头部安全厂商,启明星辰二十余年来积累了大量的安全服务经验,并将这些经验逐渐规范化、流程化,以确保自身的安全人员能够公开、透明的为用户开展可信的安全服务。
在看到当下行业中在安全管控方面面临的普遍性痛点后,启明星辰云众可信将这一套打磨成熟的安全服务经验精细化、标准化,最终打造出了专用于网络安全渗透测试场景的“云众可信渗透测试管控平台”,帮助甲方用户实现对渗透测试人员、渗透测试行为的集中管理、控制以及安全审计。
他进一步介绍到,该平台主要基于任务维度实现对渗透测试的全流程管控。在项目开始阶段,通过创建任务和添加资产,实现对项目范围的管控;在项目进行中,通过平台审计模块的实时监控,确保测试人员作安全合规;在项目结束后,支持在线查看和测试回看,为事后溯源取证提供依据。
平台从渗透测试任务准备阶段开始,即对渗透测试人员、渗透测试行为展开全面管控,提供完整的管控能力,通过多项能力的互联互通,实现对渗透测试全流程 “可见、可控、可审计、可溯源”的安全审计管控,为安全测试工作的组织和管理提供强力保障。其中包括:
• 三大留痕能力:接入身份留痕、测试流量留痕、终端行为留痕。
• 三大接入能力:VPN安全接入、虚拟终端接入、物理终端接入。
• 三大告警能力:异常流量告警、违规行为告警、高危操作告警。
• 三大阻断能力:异常流量阻断、违规行为阻断、高危操作阻断。
• 两大实时管理能力:终端实时操作录屏管理、威胁流量实时管理。
• 两大取证溯源能力:终端历史录屏、历史操作、历史会话取证,网络全流量溯源取证。
简而言之,该平台在渗透测试项目接入阶段,即要求所有测试人员通过平台安全接入到客户现场,以保证测试过程中的安全可控,同时也对测试人员的全部操作以录屏的方式进行记录和留存。以保证用户对测试过程全程可感知,结果可预见。即使在项目结束后发生安全事件争议,也能够使用平台留存数据进行全面复盘及时止损,保证事后溯源取证过程有理有据。
举例来看,在过往的渗透测试服务中,虽然测试人员难免会接触到业务数据或敏感数据,但大多数甲方用户希望能够实现数据可见不可用,数据不带出、不落地。而通过“云众可信渗透测试管控平台”就能够轻易实现这一目标:
在使用渗透测试管控平台开展渗透测试服务的场景下,平台首先会对测试人员进行安全策略方面的限制,进而确保测试人员的操作合法合规,保证所有的操作可感知和可预见。此外,测试人员在测试过程中可以使用测试终端接入平台,开展测试工作。测试结果也必须通过平台以实时在线提交,在平台的安全限制策略下,任何业务数据和敏感数据都无法下载到测试终端,保证了测试人员与敏感数据之间的相对隔离。
吴纪轩介绍,作为一个渗透测试场景专用的安全管控平台,该平台最大限度避免了平台功能的冗余性,并针对渗透测试、安全众测和攻防演练三类场景去高效解决用户的真实痛点,因此平台具备较强的场景化特点。为了更贴合用户的实际需求,该平台还采用了可拆装式的设计,能够根据用户需求和具体使用场景增减对应的功能模块,最大程度确保用户使用的便捷性和易用性。
此外,依托行业领先的流量检测技术,启明星辰“云众可信渗透测试管控平台”的流量检测引擎具备强大的双向流量检测技术和会话跟踪能力,同时预置安全研究团队精心提炼并经市场长时间考验的高质量攻击特征库,能够精准识别和发现各种网络攻击行为,实时阻断渗透测试服务过程中的攻击事件。
探索打造可视化渗透测试服务行业标准
构建甲方与测试人员的信任的桥梁
在采访最后,吴纪轩分享了对于如何在渗透测试服务过程中建立信任的看法。他表示,此前行业中的渗透测试服务就像是“蒙眼猜物”游戏,虽然在游戏开始前,游戏裁判会明确告知大家游戏道具的安全性,但当蒙上眼睛将手伸入那个黑箱中去触摸时,不安感仍然会油然而生,而不安的来源就是人在面对未知事物时所产生恐惧心理。
将这一心理映射到渗透测试服务中,项目发起方在面对未知的人员、未知的操作时,即使安全厂商承诺不会产生风险,但面对这样一个未知的黑箱,不安感仍然会产生并持续存在。正是因为甲方对整个渗透测试服务的过程不可感知、不可预见,才导致当前市场中出现了一些安全服务乱象。
他表示,启明星辰云众可信希望持续将每一次安全服务的过程标准化、规范化和透明化,最终打造了一套适用于全行业的渗透测试服务行业标准,并持续向行业推广自身的渗透测试服务标准和安全管控平台,真正建立起甲方与安全服务人员之间的信任桥梁。
京公网安备 11010802033237号
