滲透測(cè)試

滲透測(cè)試是對(duì)給定的目標(biāo)系統(tǒng)進(jìn)行安全測(cè)試，找出漏洞或風(fēng)險(xiǎn)的過程。滲透測(cè)試工程師會(huì)從不同的層面（包括應(yīng)用層、網(wǎng)絡(luò)層、系統(tǒng)層甚至物理層）對(duì)目標(biāo)系統(tǒng)進(jìn)行脆弱性分析，嘗試找出盡可能多的漏洞、配置錯(cuò)誤或其他安全風(fēng)險(xiǎn)，并嘗試對(duì)這些找到的漏洞進(jìn)行組合利用，最終獲取到訪問關(guān)鍵隱私數(shù)據(jù)的權(quán)限（隱私數(shù)據(jù)包括用戶信息或者商業(yè)秘密等）。滲透測(cè)試過程中對(duì)漏洞的利用一方面能證明漏洞真實(shí)存在，另一方面這些漏洞的利用結(jié)果也能揭示出目標(biāo)系統(tǒng)所面臨的風(fēng)險(xiǎn)等級(jí)。

滲透測(cè)試專注于對(duì)給定的系統(tǒng)進(jìn)行測(cè)試，存在明確的測(cè)試目標(biāo)和測(cè)試邊界。企業(yè)會(huì)指定測(cè)試起始時(shí)間和結(jié)束時(shí)間，測(cè)試時(shí)長(zhǎng)一般為1到2周。測(cè)試目標(biāo)可能是web系統(tǒng)、工業(yè)控制網(wǎng)絡(luò)、內(nèi)部辦公網(wǎng)絡(luò)等等。各類眾測(cè)平臺(tái)上的測(cè)試任務(wù)本質(zhì)上就是滲透測(cè)試任務(wù)，這些任務(wù)都會(huì)明確測(cè)試范圍，比如指定web系統(tǒng)域名、指定測(cè)試的APP等。

一般安全企業(yè)提供的滲透測(cè)試服務(wù)通?？梢苑纸獬梢唤M針對(duì)不同系統(tǒng)的測(cè)試任務(wù)，如針對(duì)web系統(tǒng)的測(cè)試任務(wù)、針對(duì)內(nèi)部辦公網(wǎng)的測(cè)試任務(wù)、社會(huì)工程學(xué)測(cè)試任務(wù)等等。

滲透測(cè)試在評(píng)估系統(tǒng)或網(wǎng)絡(luò)的安全性時(shí)，通常會(huì)忽略企業(yè)里其他運(yùn)行環(huán)境的安全限制。例如，內(nèi)網(wǎng)滲透測(cè)試將從內(nèi)網(wǎng)中惡意用戶（例如惡意員工或被入侵的員工機(jī)器）的角度評(píng)估企業(yè)的網(wǎng)絡(luò)安全性。測(cè)試工程師到達(dá)現(xiàn)場(chǎng)后，將會(huì)直接將筆記本電腦接入內(nèi)部辦公網(wǎng)絡(luò)開始進(jìn)行測(cè)試。內(nèi)網(wǎng)滲透測(cè)試會(huì)忽略黑客在內(nèi)網(wǎng)中獲得初始落腳點(diǎn)這個(gè)步驟(通常是通過釣魚郵件或其他方式欺騙員工運(yùn)行惡意程序)，直接從已有內(nèi)網(wǎng)接入權(quán)限開始進(jìn)行測(cè)試。內(nèi)網(wǎng)測(cè)試報(bào)告會(huì)包含內(nèi)網(wǎng)中暴露的有漏洞的服務(wù)、未打補(bǔ)丁的系統(tǒng)、錯(cuò)誤的系統(tǒng)配置、敏感文件共享等等安全問題，但是不會(huì)包含黑客最初如何獲取內(nèi)網(wǎng)接入權(quán)限這個(gè)步驟。

在滲透測(cè)試過程中，企業(yè)中負(fù)責(zé)防護(hù)的安全團(tuán)隊(duì)一般不會(huì)直接參與，為了配合滲透測(cè)試，企業(yè)有時(shí)會(huì)關(guān)閉某些安全防護(hù)軟件或禁用安全策略，方便測(cè)試工程師找出更多的安全漏洞。

當(dāng)整個(gè)滲透測(cè)試活動(dòng)結(jié)束后，工程師會(huì)出具一份滲透測(cè)試報(bào)告，里面包含所有發(fā)現(xiàn)的漏洞列表以及每個(gè)漏洞具體的利用步驟和過程，同時(shí)會(huì)依據(jù)漏洞危害給出相應(yīng)的威脅等級(jí)評(píng)分。

紅隊(duì)

盡管紅隊(duì)測(cè)試在有些攻擊技術(shù)方面類似滲透測(cè)試，但不同于滲透測(cè)試盡量多找漏洞的目標(biāo)，紅隊(duì)測(cè)試的任務(wù)往往是拿下某個(gè)特定的業(yè)務(wù)目標(biāo)(比如公司某個(gè)項(xiàng)目的源代碼，公司競(jìng)標(biāo)標(biāo)書和底價(jià)等商業(yè)機(jī)密，某個(gè)高層管理人員的郵箱或個(gè)人機(jī)等) 。紅隊(duì)要模擬真實(shí)世界中的極具目的性且不希望被檢測(cè)到的惡意攻擊者（受競(jìng)爭(zhēng)對(duì)手雇傭的惡意黑客，收集政治、經(jīng)濟(jì)和科技情報(bào)的境外國(guó)家資助的黑客團(tuán)伙等），紅隊(duì)測(cè)試某種程度上可以說是合法的高級(jí)持續(xù)性威脅(APT)。在這種完全貼近真實(shí)攻擊的測(cè)試活動(dòng)中，能夠測(cè)試企業(yè)安全防護(hù)體系的阻斷（prevention）、檢測(cè)（detection）和響應(yīng)（response）能力。

滲透測(cè)試中只關(guān)注給定目標(biāo)系統(tǒng)的漏洞，紅隊(duì)測(cè)試則完全不一樣。紅隊(duì)在測(cè)試過程中關(guān)注的是如何規(guī)劃一條攻擊路徑來達(dá)到目的。在整個(gè)紅隊(duì)測(cè)試過程中不一定要也不一定會(huì)發(fā)現(xiàn)目標(biāo)組織的漏洞，只要能達(dá)到目的，任何形式的攻擊手段都可以使用，包括但不限于web或者操作系統(tǒng)漏洞、社會(huì)工程學(xué)、物理滲透、攻擊上下游合作供應(yīng)商等。

在紅隊(duì)測(cè)試開始前，除了任務(wù)目標(biāo)外，不會(huì)給到紅隊(duì)關(guān)于目標(biāo)企業(yè)的任何其他信息。紅隊(duì)需要通過各種渠道去搜集目標(biāo)的物理位置、公開的網(wǎng)絡(luò)系統(tǒng)和服務(wù)、組織架構(gòu)以及雇員等信息，然后根據(jù)收集的信息制定攻擊計(jì)劃并實(shí)施。被測(cè)企業(yè)并不清楚（或僅有少數(shù)人清楚）攻擊將于何時(shí)發(fā)起，將以何種方式進(jìn)行。紅隊(duì)測(cè)試的持續(xù)時(shí)間一般比滲透測(cè)試更長(zhǎng)，可以達(dá)到4到6周甚至更長(zhǎng)（想想看真實(shí)APT攻擊中長(zhǎng)達(dá)數(shù)月的潛伏和持續(xù)滲透）。

紅隊(duì)在實(shí)施攻擊時(shí)，會(huì)盡量隱藏自己的蹤跡，另外還會(huì)詳細(xì)記錄每個(gè)攻擊行為的具體實(shí)施時(shí)間，在整個(gè)行動(dòng)結(jié)束后需要與組織中的防御檢測(cè)部門(即藍(lán)隊(duì))的檢測(cè)響應(yīng)時(shí)間表進(jìn)行核對(duì)，以此來評(píng)估防御檢測(cè)機(jī)制的有效性和響應(yīng)速度，同時(shí)檢查藍(lán)隊(duì)在哪些方面存在漏報(bào)和響應(yīng)不及時(shí)，幫助藍(lán)隊(duì)更好的發(fā)現(xiàn)防御檢測(cè)層面的弱點(diǎn)。這一點(diǎn)CS做的很好，可以導(dǎo)出紅隊(duì)的詳細(xì)操作日志和時(shí)間。

結(jié)語

兩者并沒有哪個(gè)更好之說，對(duì)于企業(yè)來講，先要搞清楚具體的場(chǎng)景和安全需求，才能確定需要的是滲透測(cè)試還是紅隊(duì)測(cè)試。對(duì)于新上線的業(yè)務(wù)系統(tǒng)，需要搞清楚存在那些漏洞以及漏洞可能造成的危害時(shí)，需要的是滲透測(cè)試；如果企業(yè)各個(gè)子系統(tǒng)都已經(jīng)進(jìn)行過滲透測(cè)試，并且存在成熟的漏洞管理、防御檢測(cè)以及應(yīng)急響應(yīng)機(jī)制，另外還想要對(duì)企業(yè)整體安全環(huán)境進(jìn)行評(píng)估，了解企業(yè)在面臨真正的安全攻擊事件時(shí)，是否有能力防御或者檢測(cè)并及時(shí)響應(yīng)，那么需要的便是紅隊(duì)評(píng)估。

最后說一點(diǎn)，在很多人的認(rèn)知里面，一個(gè)企業(yè)被攻破一定是因?yàn)榇嬖诎踩┒椿蛘吲渲缅e(cuò)誤之類的安全問題，這是不正確的。如果真這么簡(jiǎn)單，那只要按時(shí)打補(bǔ)丁，就能防住所有沒有0day的惡意黑客甚至防住APT攻擊了。上文已經(jīng)說過，紅隊(duì)測(cè)試過程中不一定會(huì)發(fā)現(xiàn)安全漏洞，很多時(shí)候不需要安全漏洞就能打穿一個(gè)企業(yè)。而現(xiàn)今的安全市場(chǎng)，很多企業(yè)還是以漏洞數(shù)量來評(píng)定安全服務(wù)團(tuán)隊(duì)的能力，就導(dǎo)出現(xiàn)了很多安全服務(wù)報(bào)告硬湊漏洞數(shù)量的怪象。在這種大環(huán)境下，企業(yè)可能反而認(rèn)為沒有發(fā)現(xiàn)安全漏洞但打穿了他們的紅隊(duì)安全能力不行，或者認(rèn)為純粹是偶然僥幸才能得手。這是一個(gè)認(rèn)知升級(jí)的過程，什么時(shí)候能不以漏洞數(shù)量來評(píng)定安全服務(wù)能力，才能說真正理解了安全和攻擊。