Bianca Wright

為什么漏洞發(fā)現(xiàn)獎勵制度正在興起？

即便是準(zhǔn)備最為充分的公司在應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)時也會感到氣餒。正如道德黑客Jamie Woodruff在“活力數(shù)字未來”大會上所做演示時所言，“你最弱的員工決定了你的基礎(chǔ)設(shè)施的強度。從入侵、破解到社交工程，公司中每名團(tuán)隊成員都屬于需要管理的風(fēng)險?！?/p>

安全測試公司CA Veracode的EMEA解決方案架構(gòu)師經(jīng)理Paul Farrington指出，《2017年軟件安全狀況報告》顯示，77%的應(yīng)用在初步掃描時會至少有一個漏洞，因此谷歌和蘋果等大型公司都設(shè)立了自己的漏洞發(fā)現(xiàn)獎勵制度，雇用或是鼓勵道德黑客查找他們軟件應(yīng)用中的漏洞也就不足為奇了。

像Woodruff這樣的道德黑客或滲透測試者能夠與公司合作查找陷阱和潛在問題，進(jìn)行滲透測試并幫助保護(hù)公司和公司數(shù)據(jù)的安全。由于網(wǎng)絡(luò)安全技能的差距和人才短缺正在持續(xù)影響這一領(lǐng)域，因此將外部技能引入到測試系統(tǒng)中具有重大意義。

對滲透測試者的需求正持續(xù)增長

ISACA的《2017年網(wǎng)絡(luò)安全狀況報告》顯示，盡管三分之一的受訪者稱他們的企業(yè)收到了10多名報名者對這一空缺職位的申請，但是其中64%的受訪者表示只有不到半數(shù)的報名者符合條件。報告還指出，即便是技能熟練的人，“在被雇用后也需要時間和培訓(xùn)才能達(dá)到企業(yè)已有人員的水平并勝任他們的工作?！?/p>

隨著對這些技能的需求持續(xù)增長以及公司開始重視雇用滲透測試者，整個行業(yè)正在努力提升這一領(lǐng)域的聲譽，因為之前他們的聲譽一直不是很好。道德黑客這一術(shù)語本身就存在問題，其中含有負(fù)面的含義，尤其是在其發(fā)展歷史上。曾經(jīng)被稱為白帽黑客的人如今更喜歡被稱為滲透測試者，其認(rèn)證和資格評審也正日益規(guī)范。

RiskSense的首席技術(shù)官Danny Quist博士稱：“我的首個滲透測試團(tuán)隊（紅隊）過去并不承認(rèn)他們的存在。這種情況正在快速發(fā)生變化。如今成為一名黑客需要有天生的好奇心和學(xué)習(xí)能力?！彼€補充道，專業(yè)的訓(xùn)練讓成長之路變得更加容易。如今這些專業(yè)訓(xùn)練已經(jīng)有了充足的可用資源，其中包括YouTube視頻、相關(guān)書籍和當(dāng)?shù)氐腄efcon/2600小組。Quist說：“特許學(xué)校的黑客培養(yǎng)正在從孩子抓起。軍隊則直接從高中征召人員并將他們培訓(xùn)成黑客。如今已經(jīng)有了相關(guān)的資格認(rèn)證和培訓(xùn)方案，大學(xué)也開設(shè)了相關(guān)的專業(yè)?！?/p>

CREST是一家代表技術(shù)信息安全行業(yè)的非營利認(rèn)證機構(gòu)。他們?yōu)閺氖聺B透測試、網(wǎng)絡(luò)事件響應(yīng)和威脅情報服務(wù)的機構(gòu)和個人提供國際承認(rèn)的資格認(rèn)證。

CREST總裁Ian Glover說：“我們引入了專業(yè)級的資格認(rèn)證。這些資格認(rèn)證已經(jīng)得到了行業(yè)、政府、雇主和個人的承認(rèn)，等級從基礎(chǔ)入門級到專家級以及10000小時級甚至更高級都有?！?/p>

CREST強調(diào)所有的會員公司都要接受定期的嚴(yán)格評估。獲得CREST資格認(rèn)證的個人必須要通過嚴(yán)格的考試以證明自己的學(xué)識、技能和工作能力。CREST由經(jīng)驗豐富的安全專家組成的執(zhí)行委員會管理，這些專家還將促進(jìn)網(wǎng)絡(luò)安全市場中的意識、道德與標(biāo)準(zhǔn)的發(fā)展。

Glover還補充道，雖然全球不同地區(qū)正在使用不同的解決辦法，但是實現(xiàn)行業(yè)專業(yè)化的推動力十分強勁。CREST將有助于在東南亞地區(qū)實現(xiàn)許可證制度和建立滲透標(biāo)準(zhǔn)。他說：“在新加坡，他們將要實施這些。如果你正在從事滲透測試工作但沒有獲得批準(zhǔn)，那么你可能面臨兩年的監(jiān)禁和50000美元的罰款。”

作為CREST會員企業(yè)的Context Information Security的部門主管Owen Wright說，他們的目標(biāo)是讓公司的咨詢?nèi)藛T都獲得CREST的相關(guān)資格證書，這需要很高的學(xué)識與技術(shù)水平。如果要訪問受保護(hù)的重要信息和資產(chǎn)，任何外部咨詢?nèi)藛T都必須要獲得安全許可，至少要是安檢（SC）級許可。

他解釋說，公司使用道德黑客進(jìn)行滲透測試以識別IT系統(tǒng)漏洞的力度正在增加。一旦突破，滲透測試者通常會進(jìn)一步利用漏洞并嘗試提升權(quán)限以徹底查明風(fēng)險的等級。

Wright說：“‘紅隊測試會模擬公司遇到的真實攻擊以評估公司安全防護(hù)的有效性?！边@通常包括觀察人員和程序以查看他們在面對真實攻擊時是如何應(yīng)對的。

Wright將這比作消防演練。每個人都知道在火警響起時需要撤離建筑物并清楚最安全的逃生路線。消防演練會發(fā)現(xiàn)大門被上鎖、消防水龍頭缺失或不起作用等問題。他說：“通過找出漏洞、發(fā)現(xiàn)安全策略與執(zhí)行之間的差距以及最終的風(fēng)險管理，滲透測試能夠提供與真實攻擊相同的體驗?！?/p>

技術(shù)信息隨后必須要轉(zhuǎn)化為商業(yè)情報。FarrPoint公司的網(wǎng)絡(luò)安全顧問Dan Brown說，道德黑客已經(jīng)從純粹的技術(shù)角色轉(zhuǎn)變?yōu)榱伺c業(yè)務(wù)持續(xù)性和技術(shù)漏洞風(fēng)險息息相關(guān)的角色。在過去十年里，他發(fā)現(xiàn)這一角色已經(jīng)越來越受歡迎。

“公司經(jīng)常發(fā)現(xiàn)他們將這些純技術(shù)性的報告轉(zhuǎn)換為他們能夠看懂的風(fēng)險，就像他們應(yīng)對的其他業(yè)務(wù)風(fēng)險那樣易懂是一項艱巨的挑戰(zhàn)。滲透測試者將與網(wǎng)絡(luò)安全顧問共同工作以將這些風(fēng)險轉(zhuǎn)換為他們熟悉的商業(yè)指標(biāo)?！?/p>

滲透測試的四大關(guān)鍵驅(qū)動力

SecureData公司首席安全策略官Charl van der Walt指出了滲透測試的四大關(guān)鍵驅(qū)動力。首先是檢驗盒。許多客戶因為合規(guī)性的原因被迫展開滲透測試，這導(dǎo)致經(jīng)常出現(xiàn)被迫采購，客戶幾乎沒有合作，沒有學(xué)習(xí)動力，也沒有意愿去修補已發(fā)現(xiàn)的問題。他說：“這類測試經(jīng)常無法避免，但是合規(guī)性絕對不是一個展開滲透測試的好理由?！?/p>

第二個關(guān)鍵驅(qū)動力被van der Walt稱之為“新頭盔”。他指出這和一段YouTube視頻中小男孩拿到新自行車頭盔后立即戴上它以跑步方式高速向墻上撞以測試頭盔的性能如出一轍。想知道它們是否會起作用，那么最好的方式就是戴上進(jìn)行測試。

“即便是最世故的IT操作部門中也有像視頻中的小男孩這樣的員工。為這些風(fēng)險、漏洞和威脅管理投入了大量時間和資金的人想知道，他們真的很想知道自己將如何抵御一個集中攻擊以及經(jīng)歷整個考驗是一種什么感覺。這是一種原始的心理驅(qū)動力，雖然難以獲得預(yù)算但是會立即吸引具有好奇心的員工和公司?！?/p>

他解釋說，這一價值體現(xiàn)在情緒和管理上?！霸跐B透測試期間向首席技術(shù)官展示首席執(zhí)行官電子郵箱收件箱中泄露出來的郵件副本，那么隨后關(guān)于信息安全的所有討論都會換上另一副完全不同的語調(diào)。對于那些試圖說服董事會或管理者讓他們重視安全性的首席信息安全官來說，這是一個非常有說服力的示例?！?/p>

van der Walt說，漏洞發(fā)現(xiàn)獎勵為第三個驅(qū)動力。許多成熟的公司，尤其是那些自己開發(fā)軟件的公司已經(jīng)把對新代碼版本進(jìn)行滲透測試作為公司的策略。明確攻擊范圍、設(shè)置具體目標(biāo)、安排測試者輪流實施、記錄和追蹤發(fā)現(xiàn)的漏洞等機制已經(jīng)被明確制定并被嚴(yán)格執(zhí)行。

van der Walt說：“有意思的是在這類測試中，測試者的主要價值并不是某一種技能或?qū)W識，而是一種視角。即以攻擊者的思維和行為方式進(jìn)行訓(xùn)練、引導(dǎo)和激勵，而不是站在建設(shè)者的視角上?？蛻糇约旱膯T工很少會站在這種視角上進(jìn)行評估?！?/p>

最后一種是Wright提出的戰(zhàn)爭游戲，也是最有趣的。Van der Walt說，盡管這一套通常出現(xiàn)在軍隊和政府當(dāng)中，但是它們已經(jīng)逐漸被商業(yè)世界所接受。

他說：“我們作為公司也喜歡這種測試，不光是因為這非常有趣，更因為我們可以自由地模擬真實的對手，而不是面對政府或行業(yè)標(biāo)準(zhǔn)以及其他的行業(yè)測試者?！?/p>

道德黑客相當(dāng)于便宜的保險

《SANS網(wǎng)絡(luò)戰(zhàn)網(wǎng)絡(luò)城市》作者兼美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會（SANS Institute）“SEC560：網(wǎng)絡(luò)滲透測試與道德黑客”課程首席教官Ed Skoudis說，通過發(fā)現(xiàn)程序、技術(shù)和安全感知中的瑕疵，道德黑客能夠根據(jù)實際問題而非理論上的漏洞給出切實的建議。他說：“通過這種方式，道德黑客能夠幫助組織機構(gòu)分配稀缺資源以便更為有效地展開網(wǎng)絡(luò)防御。”

Skoudis表示，從道德黑客或滲透測試者那里獲取最有價值的東西的關(guān)鍵，在于找到既擁有出色技術(shù)又能知道如何為公司提供價值的人才。他強調(diào)說：“將這些領(lǐng)域融會貫通至關(guān)重要?！痹诩夹g(shù)層面上，道德黑客應(yīng)當(dāng)能夠模擬組織機構(gòu)常見威脅所使用的攻擊技巧，這些威脅包括網(wǎng)絡(luò)犯罪分子、國家、不懷好意的內(nèi)部人員等。

此外，他指出：“道德黑客還應(yīng)當(dāng)清楚如何以組織機構(gòu)的內(nèi)部語言描述風(fēng)險。不同的組織機構(gòu)會面臨不同類型的風(fēng)險并會以不同的方式討論?！备鶕?jù)組織機構(gòu)的不同，業(yè)務(wù)風(fēng)險包括金融影響、監(jiān)管疏漏、物理安全、形象損害等?！澳愕牡赖潞诳湍軌驇椭鷮撛诠襞c業(yè)務(wù)風(fēng)險聯(lián)系起來，因此你能夠確保自己的防御適用于當(dāng)面面臨的威脅?！?/p>

他補充道，尋找道德黑客的價值在于他們能夠針對提升防御能力給出切實的業(yè)務(wù)建議，而你的運營團(tuán)隊也能夠?qū)嶋H執(zhí)行這些建議?！耙恍┑赖潞诳蛯嶋H上很擅長推薦實用的技術(shù)。我們應(yīng)當(dāng)盡力尋找他們?！?/p>

盡管漏洞發(fā)現(xiàn)獎勵制度和道德入侵是網(wǎng)絡(luò)安全中非常重要的一個環(huán)節(jié)，但是Farrington反對只依靠道德黑客來查找安全漏洞。研究表明，道德黑客發(fā)現(xiàn)的大部分漏洞能夠在開發(fā)階段通過培訓(xùn)或測試被開發(fā)人員堵上。對此，他指出：“組織機構(gòu)必須要確保自己在軟件應(yīng)用開發(fā)方面有一套完整的解決方案?！?/p>

道德黑客的價值在于防范于未然。正如Quist所言：“道德黑客要使用與不道德黑客相同的戰(zhàn)術(shù)、技術(shù)和程序。他們之間的最大區(qū)別在于你能夠知道他們發(fā)現(xiàn)了什么以及如何解決。道德黑客相當(dāng)于便宜的保險?！?/p>

原文網(wǎng)址

https：//www.csoonline.com/article/3266671/security/testing-the-waters-the-value-of-ethical-hacking-for-business.html