欢迎光临第五届中国汽车网络信息安全峰会2020!

像黑客一样思考 | 渗透测试人员如何利用安全漏洞来帮助公司修补漏洞

发布日期:2020-07-10

GRCC IoVSecurity 昨天 

手机阅读

点击上方蓝色字体,关注我们


在90年代初期,埃德·斯科迪斯(Ed Skoudis)第一次担任电话公司的渗透测试员时,他的同事向他寻求了一些“有预见性”的职业建议。


“我的同事对我说,'看,孩子,您可能只会从事网络安全职业10年,因为我们知道如何解决所有这些漏洞,而人们将要对其进行修复,'” Skoudis说过。


那时的互联网还处于起步阶段,黑客集中精力致力于打入电话系统并重新路由电话。斯库迪斯(Skoudis)在他的旧Commodore 64家用游戏机上长大了黑客公告板,并从卡内基·梅隆(Carnegie Mellon)获得了信息网络硕士学位,他被聘用来弄清楚坏人是如何闯入该系统的。



“我们部署新漏洞的速度比部署已知漏洞的修复速度要快。”


尽管他的同事说对了,网络安全团队最终将找出如何修补黑客利用其侵入电话系统的漏洞的做法是正确的,但他却忽略了当今公司所忽略的同一件事:随着技术的成倍增长,安全漏洞的数量也在增加。


Skoudis现在是Sans Institute的研究员,在那里他教授先进的渗透测试技术。互联网,智能手机,第三方软件,物联网设备,云:所有这些都创建了一个接入点网络,黑客如果没有适当的保护,就可以利用它们来利用人员和企业。如今,即使门铃是智能系统的一部分,它也可以成为网络的入口。


随着公司努力跟上黑客的步伐,技术之间的联系日趋紧密,渗透测试仪的作用从未如此必要。Skoudis说:“我们部署新漏洞的速度比部署已知漏洞的速度要快。”


渗透测试的类型


  • 网络渗透:在此测试中,网络安全专家专注于尝试通过第三方软件,网络钓鱼电子邮件,密码猜测等闯入公司网络。

  • 网络应用程序渗透率:这些测试涉及评估公司在线网站,社交网络或API的安全性。

  • 移动渗透率:在这项测试中,渗透率测试人员试图侵入公司的移动应用程序。如果金融机构想要检查其银行应用程序中的漏洞,它将使用此方法来执行此操作。

  • 物理渗透:渗透测试的最早形式之一是,专家将尝试闯入办公室并访问公司的计算机或物理资产。

  • 硬件渗透:测试的工作越来越普及,是利用IoT设备的安全系统,例如智能门铃,安全摄像头或其他硬件系统。


什么是渗透测试?


渗透测试的概念始于1960年代,当时计算机科学专家警告政府,其计算机通信线路不如预期的安全。


为了检验这一理论,据InfoSec研究所称,政府引入了称为“虎队”的计算机科学家团体,试图闯入其计算机网络。计算机网络未通过测试,但确实证明了渗透测试的价值。


从那时起,政府和企业就开始使用渗透测试来分析其技术的安全性。渗透测试员的核心工作是像黑客一样,利用公司系统中的漏洞。它存在于道德黑客的保护下,被视为白帽黑客角色中的一项服务。


“我们与另一位黑客之间的唯一区别是,我从您那里拿了一张纸,上面有一张支票,上面写着'去吧。'”


漏洞扫描可以识别表面问题,而红帽黑客可以测试蓝帽安全团队的防御能力,而渗透测试人员在闯入公司系统时会试图不被发现。网络安全公司Coalfire的董事乔·诺伊曼(Joe Neumann)表示,他们的目标是揭露和利用公司的弱点的深处,以便企业可以了解其安全风险和业务影响。


渗透测试为什么重要?


Neumann说,虽然渗透测试已经进行了近六十年,但在过去五年中,这种做法才开始在商业企业中逐渐普及。他每天接到公司打来的电话,要求他进行首次渗透测试,但往往失败得很惨。


尽管如此,在私营部门进行了几年渗透测试之后,Neumann希望看到新的安全问题得以解决。取而代之的是,随着技术之间的联系越来越紧密,每次测试都会带来一系列新的漏洞。


“出现的东西越来越多了,”Neumann说。“我们并没有变得更加安全,我想现在我们正在意识到实际情况有多严重。”


Neumann说,最常见的罪魁祸首之一是“**债务”,或者是从公司收购的技术中继承的缺陷。但是,威胁数量的增加也反映了整个行业对网络安全和渗透测试的总体态度。


“我们并没有变得更加安全,我想现在我们正在意识到实际情况有多严重。”


有时,公司会跳过针对安全漏洞的产品测试,以更快地投放市场。Skoudis说,其他时候,员工走捷径并且没有采取适当的安全措施。安全功能仍然被认为是一种奢侈,特别是对于财务资源有限而无法采取安全措施的中小型企业。


当然,随着汽车和房屋之间的相互联系越来越紧密,这可能会带来危险的后果。在《连线》(Wired)的一个故事中,两名硬件渗透测试人员展示了入侵连接到互联网的吉普车并接管汽车网络是多么容易。在渗透测试过程中,当黑客接管扬声器,刹车甚至发动机时,测试驾驶员感到无助。


视频:这些家伙可以破解滑板



尽管存在风险,但大多数公司都等到被黑客入侵才能进行渗透测试。相反,将渗透测试视为预防性拜访牙医会很有帮助:它可以探测网络中的薄弱环节并识别安全网络中的漏洞,但同时也可以增强整个安全网络的强度。


最终,渗透测试的结果只能显示安全风险的范围及其业务影响。就像牙医一样,影响只会扩展到客户愿意的安全步骤。


“我要向客户强调的一件事是,他们需要在渗透测试之前进行全年的所有安全准备工作和勤奋工作,” Neumann说。“在测试之前,要做的不只是急件。”


实施渗透测试的策略


人们喜欢认为Skoudis所做的是魔术。他们想象一个戴头巾的黑客,打断他的指关节,然后疯狂地打字以揭露公司网络的胆量。实际上,Skoudis说过程是这样的:


“你走到一堵墙,然后开始把头撞在墙上。您正在尝试用脑袋砸墙,而头部却没有锻炼,因此请尝试所有可以想到的事情。您在墙上刮擦并在墙上刮擦,然后花了几天与同事交谈。然后,最后,您发现墙壁上有这个小裂缝,并且开始挖掘,但没有任何进展。几天后,您抬头望去,发现其中有一小块墙是您之前从未见过的,并且其中有一道刻痕。这样一来,您伸出手指并触摸它,墙壁就会倒下。”


尽管如此,测试人员仍然可以采用一些策略来闯入网络。在进行渗透测试之前,请务必先做好一些前期准备工作。Skoudis喜欢与客户坐下来,就安全性展开公开对话。他的问题包括:


  • 您对计算机的依赖性如何?有人会通过计算机伤害您吗?

  • 你担心什么 是什么让您彻夜难眠?

  • 您想了解骇客如何伤害您的原因是什么?


这可以帮助他了解他们正在寻找的测试范围。从那里,他警告客户,他有可能使他们的系统崩溃,并且他们需要为此做好准备。


Skoudis说:“如果笔测试人员告诉过您,他们几乎没有机会使服务器崩溃,或者是他们完全对您说谎-因为总有机会-或者他们不打算进行笔测试。” 。


从那里,渗透测试人员将运行漏洞扫描并列出要利用的漏洞列表。Skoudis通过查看域名,服务器记录,DNS记录,员工电子邮件和第三方软件来查看攻击面。然后,他开始挖掘。


“如果渗透测试人员告诉过您,他们几乎不可能使服务器崩溃,或者是他们完全对您说谎-因为总有机会-或者他们不打算进行笔测试。”


他的策略涵盖了黑客可能使用的各种技巧。他可能会发送网络钓鱼电子邮件,以查看员工是否会咬人,将JavaScript发布到HTTP请求中以访问其他用户的浏览器或在各个输入字段中输入垃圾数据。


Skoudis说:“您要做的是使网络出现咳嗽或打嗝,这可能会导致完全崩溃。”


有用的渗透测试工具


  • Mimikatz

  • MetaSploit

  • Responder

  • Microsoft System Administrator Suite

  • KALI Linux


弹出的一些最常见的问题是默认出厂凭据和默认密码配置。Neumann说,测试人员的目标是利用悬而未决的成果,然后更深入地研究清单,以发现可能对公司造成更大危险的中等风险,例如服务器消息框签名。


席梦思大学计算机科学系助理教授Lauren Provost说,在整个测试过程中,务必详细记录有关过程,以帮助解释错误并提供记录以防万一。测试人员可以提供测试后摘要,并说服公司实施一些安全更改。当她与客户一起审阅报告时,她通常会引导他们进入她在他们要求的范围之外发现的其他发现,并提供解决问题的资源。


Provost说:“这项工作是要满足客户的需求,但是您也可以在这样做的同时轻轻地支持教育。” “您正在成为资源。您可以说:“这是我一直在做的事情,但我也注意到了您应该考虑的这个问题。”我也想在我在那里时提供员工教育。”


弹出的一些最常见的问题是默认出厂凭据和默认密码配置。Neumann说,测试人员的目标是利用悬而未决的成果,然后更深入地研究清单,以发现可能对公司造成更大危险的中等风险,例如服务器消息框签名。


席梦思大学计算机科学系助理教授Lauren Provost说,在整个测试过程中,务必详细记录有关过程,以帮助解释错误并提供记录以防万一。测试人员可以提供测试后摘要,并说服公司实施一些安全更改。当她与客户一起审阅报告时,她通常会引导他们进入她在他们要求的范围之外发现的其他发现,并提供解决问题的资源。


Provost说:“这项工作是要满足客户的需求,但是您也可以在这样做的同时轻轻地支持教育。” “您正在成为资源。您可以说:“这是我一直在做的事情,但我也注意到了您应该考虑的这个问题。”我也想在我在那里时提供员工教育。”


阅读案例研究并想像黑客以保持知情


作为渗透测试人员,取得成功的唯一方法就是像黑客一样思考。Provost的专业知识是网络安全,她在课堂上花费大量时间与学生一起研究有关恶意黑客的案例研究。


由于每个渗透测试都会揭示出新的缺陷,因此很难确定应优先考虑的事项。这些研究可以帮助他们确定恶意行为者使用的模式和方法。通常,黑客会从一个案例到另一个案例重复相同的策略和行为。


普罗沃斯特说:“很多动机是相同的:经济收益还是臭名昭著。” “了解过去有助于指导我们将来。”


同时,网络安全会议,新闻报道和搜索黑暗网络也可以帮助测试人员了解黑客使用的策略。深夜修补**的IoT设备以查明常见的安全漏洞也是如此。Neumann说,作为渗透测试员的培训永远不会结束。



“很多动机都是一样的:经济收益还是臭名昭著。了解过去有助于指导我们将来。”



尽管不可能完全了解**趋势,但仍存在一种似乎已超越其他所有安全隐患:人类。恶意行为者可以呼叫一个假装为HR的员工,使他们泄漏密码。人们点击网络钓鱼电子邮件,公司领导要求IT部门推迟对防火墙添加限制以使员工满意,而工程师却忽略了安全配置,因为他们认为第三方供应商的安全做法是理所当然的。


这些错误中的每一个都是可以避免的入口点。因此,当Provost对渗透测试进行建模时,她不仅在考虑某人将如何闯入网络,而且还在考虑人们为促进此举而犯的错误。她说:“无意中,员工是大多数公司中最大的弱点。”


要解决此问题,公司必须投资培训员工,并将网络安全放在首位。**的渗透测试有助于发现这些弱点,并为公司提供修补整个网络生态系统所需的材料,从第三方软件到内部防火墙再到培训练习。


渗透测试的未来


Neumann认为安全团队不会追赶黑客的攻击。随着技术的不断发展,这是一场西西弗斯式的斗争,但斗争变得越来越复杂。


当企业发布没有适当安全配置的消费物联网设备时,挑战将加倍。在理想的世界中,安全性应该足够容易,以便购买该设备的任何人都可以简单地打开设备并随意操作。相反,产品附带有安全漏洞,公司和客户都为此付出了代价。


“我认为,由于数量庞大,防御者无法确保所有东西都安全。”


Neumann说:“我认为,由于数量庞大,我们无法达到防守者拥有一切安全的地步。” “装甲中总会有你能穿过的缝隙。那就是笔测试人员要做的事情:尝试找到一个位置并进入。”


有一些希望。纽曼说,像亚马逊,微软,IBM,甲骨文和谷歌这样的大型公司都要求公司进行渗透测试,然后才能出售服务。诸如此类的保障措施正在改变围绕网络安全的文化,并导致其他人采用渗透测试作为预防措施。


同时,Skoudis正在进入他所谓的“十年职业”的第二十五年,并且没有任何松懈的迹象。


作者:Brian Nordli | July 9, 2020

原文链接:https://builtin.com/cybersecurity/penetration-testing




相关文章

汽车网络事件在2019年翻了一番,达到188个漏洞
排名前25位的汽车网络安全黑客事件
黑客白皮书:如何成为一名黑客(附FAQ)






SELECTED EVENTS




 

长按二维码识别关注



我就知道你“在看”


  • 电话咨询
  • 15021948198
  • 021-22306692
None