随着电子商务、电子政务的发展,越来越多的重点单位和企业在
安全上投入了巨大的精力和资金,但有时候用户会有这样的感受:当基本的软硬件设施配置好之后,安全防卫水平就到了一个相对的瓶颈,再加大投入并不能明显提高安全水平。实际上,这种“安全玻璃天花板”在很多行业和企业中都存在,近期兴起的“渗透测试”成为了解决这个问题的新角度之一。
渗透测试是一种全新的安全防护思路,将安全防护从被动转换成了主动。正是因为看到了这一点,很多重点行业的企业越来越多地通过独立的第三方安全机构来进行“渗透测试”,以求更好的安全防护效果。
据瑞星安全专家介绍,早在二三十年前,渗透测试曾经在整个安全界风行一时,但在后来也遭到了一些批评。批评者认为,花费高额费用来请外部安全机构的性价比不高,而且渗透测试的效果难以准确衡量,还会受到执行团队的技术水平制约。因此,在看不到明显效果的情况下,很多企业转而寻求“看得见的安全保护”,大力部署软硬件安全设备。伴随着安全行业的发展和企业安全意识的提高,以渗透测试为代表的“安全服务”正在得到越来越多人的认可。
图1:不久前,暴雪公司宣布战网内部安全网络被黑客攻破,建议用户更改账号密码
什么是渗透测试渗透测试是由专业安全公司模仿黑客,针对授权企业网络进行安全检测的方法。这个检测过程包括对
系统的任何弱点、技术缺陷或漏洞的主动分析,这种分析是站在攻击者角度进行的主动性探测,因此会发现使用传统检测方法无法发现的攻击路径、攻击方法和技术弱点。
早在上世纪70年代,美国军方就曾利用“渗透测试”发现了许多未知漏洞,甚至曾经雇佣黑客对目标镜像进行试探性攻击,从而促使
软件编写者构建更强壮的计算机网络系统。后来,越来越多具有军方背景的机构开始使用这种方法,使得漏洞在暴露之前就被修复。
图2:渗透测试基本流程
事实上,曾经在国内流行一时的“公开邀请黑客攻击自己网站,攻击成功可获大奖”的商业活动,其最初的模仿来源就是渗透测试,只不过加入了更多的商业元素,与市场活动结合有更好的推广效果。
但值得注意的是,企业一般在部署了相对完善的软硬件安全防护体系(包括企业版安全软件、防火墙、入侵检测设备等)之后,才需要进行渗透测试。如果一个企业网络缺乏基本的保护措施,那会大大增加渗透测试工程师不必要的工作量。
