滲透測試助力PCI DSS合規(guī)建設(shè)
滲透測試與PCI DSS的關(guān)系
PCI(Payment Card Industry)中文全稱為:支付卡產(chǎn)業(yè)。在這個產(chǎn)業(yè)里存在一個標準組織,稱為--支付卡行業(yè)安全標準委員會,英文簡寫為PCI SSC(Payment Card Industry Security Standards Council)。PCI安全標準委員會是由國際知名的五家支付品牌共同建立而成,他們是美國運通(American Express)、美國發(fā)現(xiàn)金融服務(wù)公司(Discover Financial Services)、JCB、全球萬事達卡組織(MasterCard)及Visa國際組織。PCI SSC一共維護了三個安全標準:PCI DSS(Payment Card Industry Data Security Standard 支付卡行業(yè)數(shù)據(jù)安全標準)、PCI PA-DSS(Payment Card Industry Payments Application Data Security Standard支付卡行業(yè)支付應(yīng)用數(shù)據(jù)安全標準)以及PTS(PIN Transaction Security PIN傳輸安全標準)。從下圖可以很清楚的反應(yīng)這三個標準之間的關(guān)系。
無論是PTS還是PCI PA DSS,其最根本的目的是為了使最終的客戶能夠滿足PCI DSS的要求。(關(guān)于PTS和PA DSS更多的介紹可參見PCI官方網(wǎng)站www.pcisecuritystandards.org和atsec官方網(wǎng)站www.atsec-information-security.cn)。
在PCI DSS第 11.3中有這樣的要求“ Perform external and internal penetration testing at least once a year and after any significant infrastructure or application upgrade or modification (such as an operating system upgrade, a sub-network added to the environment, or a web server added to the environment). These penetration tests must include the following: Network-layer penetration tests and Application-layer penetration tests”其轉(zhuǎn)譯中文意思是:至少每年或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級或修改后(例如操作系統(tǒng)升級、環(huán)境中添加子網(wǎng)絡(luò)或環(huán)境中添加網(wǎng)絡(luò)服務(wù)器)都需要執(zhí)行內(nèi)部和外部基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測試。
什么是滲透測試
滲透測試是通過模擬來自惡意的黑客或者駭客攻擊,以評估計算機系統(tǒng)或者網(wǎng)絡(luò)環(huán)境安全性的活動。從滲透測試的定義我們能夠清楚的了解到滲透測試它是一項模擬的活動,主要的目的是進行安全性的評估,而不是摧毀或者破壞目標系統(tǒng)。
從下圖我們可以看到,滲透測試與網(wǎng)絡(luò)掃描,脆弱性掃描,安全掃描和安全審計其實并不相同。滲透測試是介于安全掃描和安全審計之間,它并不是純粹的掃描工作,但是它執(zhí)行的深度又沒有安全審計那么深入。滲透測試是從攻擊者的角度,試圖通過各種技術(shù)手段或者社交手段去發(fā)現(xiàn)和挖掘系統(tǒng)的漏洞,最終達到獲取系統(tǒng)最高權(quán)限的目的。無論是從測試的覆蓋面和測試的深度來看,滲透測試都要比網(wǎng)絡(luò)掃描,脆弱性掃描和安全掃描更為深入。
滲透測試的目的
對于滲透測試而言,除了滿足某些特定標準(如PCI DSS)的要求之外,滲透測試還會有如下的好處:
識別和發(fā)現(xiàn)機構(gòu)可能被攻擊的薄弱環(huán)節(jié)
通過外部獨立的第三方評估機構(gòu)的安全評估提高客戶自身的安全級別和降低安全風險
提高人員對于信息安全的意識
滲透測試的方法論和業(yè)界參考實踐
對于任何測試而言,都會相應(yīng)的測試方法或者規(guī)則。在滲透測試領(lǐng)域,業(yè)界的滲透測試方法論或者最佳實踐可以作為一個很好的參考,但是測試人員在測試過程當中更多的是依靠自身的能力和經(jīng)驗去完成測試工作,因為在測試過程當中可能會遇到各種各樣的問題。下面是行業(yè)中被廣泛接受的測試方法或者滲透測試的最佳實踐:
OWASP(Open Web Application Security Project)Testing Guide——關(guān)注在web應(yīng)用安全測試的測試指導。該測試指導涵蓋了web應(yīng)用程序大部分功能點的安全性測試,測試指導同時會給出一些測試的實例進行簡單的說明。
OSSTMM(Open Source Security Testing Methodology Manual) -- 開放源代碼安全測試方法手冊。OSSTMM是一個關(guān)注在安全測試和評價的方法論。OSSTMM的測試用例分為五個方面:信息和數(shù)據(jù)控制;人員安全意識水平;欺詐和社會工程學控制水平;計算機和電信網(wǎng)絡(luò),無線設(shè)備,移動設(shè)備以及物理安全訪問控制;安全流程,如建筑物,周邊環(huán)境,以及軍事基地的物理位置等安全流程。
Special Publication 800-115 Technical Guide to Information Security Testing and Assessment – 美國NIST發(fā)布的針對信息安全測試和評估的技術(shù)指導
ISSAF(Information Systems Security Assessment Framework)-- 關(guān)注在信息系統(tǒng)安全評估的框架
Penetration Testing Framework -- 滲透測試的框架,該測試框架是滲透測試實踐的操作總結(jié),它非常詳細的描述了滲透測試過程當中每一步應(yīng)該做什么,怎么去做。該份測試的框架對于滲透測試的實際操作有著非常好的參考價值。#p#
滲透測試的流程
對于滲透測試,其流程大體包括:測試協(xié)議和方法確定,免責條款簽署,信息收集,脆弱性分析,對脆弱性進行滲透和利用,權(quán)限提升,最終評估和報告編寫以及客戶根據(jù)滲透測試發(fā)現(xiàn)問題的整改和追蹤等環(huán)節(jié)。以下是對于上述各個環(huán)節(jié)的簡要介紹:
滲透測試與惡意黑客的攻擊最大的區(qū)別就是:惡意黑客為了獲得想要的信息可以不計后果對目標系統(tǒng)進行攻擊測試,而滲透測試人員的所執(zhí)行的測試活動是需要在特定的測試協(xié)議下執(zhí)行的。因此在正式執(zhí)行滲透測試之前,明確測試協(xié)議與測試方法是最重要的工作,測試協(xié)議與測試方法是后續(xù)測試人員開展?jié)B透測試的參照標準。對于滲透測試協(xié)議和方法的確定,下述圖示展示了atsec結(jié)合了前文所提及的方法論和業(yè)界參考實踐的經(jīng)驗總結(jié)。
在滲透測試中,根據(jù)客戶提供信息的多少,我們可以人為的將滲透測試分為黑盒測試和白盒測試。所謂的黑盒測試是客戶盡可能少的給測試人員提供測試目標的信息,測試人員在不了解目標系統(tǒng)的情況下展開測試。白盒測試是測試人員在完全了解系統(tǒng)的設(shè)計和架構(gòu)或者網(wǎng)絡(luò)配置的情況下對目標進行滲透,以確保所有安全問題都被發(fā)現(xiàn)了。
從測試人員測試活動的攻擊性的角度評價,可以將滲透測試劃分成四種情況:
被動的測試活動,在此種情況下測試人員不會主動向目標系統(tǒng)發(fā)送攻擊指令,測試人員通常會執(zhí)行信息捕獲的工作。
謹慎的測試活動,在此種情況下測試人員通常會對目標系統(tǒng)執(zhí)行嗅探工作并根據(jù)嗅探獲得的漏洞進行分析和評估。
審議的測試活動,在此種情況下測試人員通常會將發(fā)現(xiàn)的漏洞信息與客戶進行討論,以明確哪些漏洞在測試過程當中需要執(zhí)行實際的漏洞驗證和利用。
具有侵略性的測試活動,在此種情況下測試人員通常會根據(jù)所發(fā)現(xiàn)的漏洞信息進行逐個驗證,此時測試人員考慮更多的是如何最大限度獲得目標系統(tǒng)的系統(tǒng)權(quán)限或者獲得目標系統(tǒng)上存儲的信息。
從測試范圍的選擇,客戶可以指定整體網(wǎng)絡(luò)環(huán)境的系統(tǒng)組件,或者是部分的網(wǎng)絡(luò)環(huán)境的系統(tǒng)組件,又或者是對于特定的目標系統(tǒng)進行測試。
對于測試人員在測試過程當中的活動,客戶可以要求測試人員隱秘的執(zhí)行滲透測試活動,又或者明確測試人員并不需要隱藏測試活動可以公開執(zhí)行滲透測試工作。
在滲透測試活動中,客戶可以要求測試人員對如下方面執(zhí)行滲透測試工作:對互聯(lián)網(wǎng)絡(luò)執(zhí)行滲透(如互聯(lián)網(wǎng)上的web服務(wù)器,數(shù)據(jù)庫服務(wù)器,網(wǎng)絡(luò)設(shè)備等等);對通訊執(zhí)行滲透測試(如PSTN網(wǎng)絡(luò),電信網(wǎng)絡(luò),3G網(wǎng)絡(luò)等方面);對物理安全執(zhí)行滲透測試(如目標系統(tǒng)的物理防護,電磁輻射等方面);執(zhí)行社會工程學測試(主要是為了測試員工的安全意識)。
在測試方法設(shè)定的時候,客戶還可以要求測試人員以外網(wǎng)或者內(nèi)網(wǎng)作為滲透測試活動的出發(fā)點。
在確定測試協(xié)議和方法之后,測試人員通常會要求客戶出具一份滲透測試的免責聲明,該聲明中會明確聲明測試人員不需要為測試過程中產(chǎn)生的任何風險承擔法律責任。這份免責聲明,對于滲透測試人員而言是很好的法律保護,因為任何的測試活動都不可能百分之百安全,在某些測試過程(如對漏洞進行滲透和利用)當中難免會存在一些安全風險,如果沒有此份聲明測試人員迫于法律的限制不可能完成后續(xù)的測試工作。
當完成上述兩個準備階段的工作之后,測試人員通常會進入非常重要和關(guān)鍵的一個環(huán)節(jié)----信息收集。在信息收集過程當中包括但不限于以下信息:IP地址信息,關(guān)聯(lián)域名信息,域名聯(lián)系人信息,DNS服務(wù)器信息,郵件服務(wù)器信息,IP地址段路由信息,和目標系統(tǒng)相關(guān)的人員信息收集,目標系統(tǒng)漏洞信息,或者通過社會工程學從相關(guān)人員口中套取有用的信息等等。信息收集是一門比較高深的學科,如果信息收集得很好,很多時候都不需要使用技術(shù)手段對系統(tǒng)漏洞進行滲透利用都能獲得系統(tǒng)的權(quán)限。#p#
對于滲透測試而言,雖然它是一項通過模擬黑客或者駭客的攻擊以評估系統(tǒng)或者網(wǎng)絡(luò)環(huán)境安全性的活動,但是滲透測試比真實生活當中的攻擊行為有著更多的限制。滲透測試并不以摧毀或者破壞系統(tǒng)的可用性為目的。在滲透測試過程當中,我們需要最大限度的保證客戶業(yè)務(wù)的正常運轉(zhuǎn)(當然客戶的特殊要求除外),在這個前提下 盡最大可能發(fā)現(xiàn)和挖掘目標系統(tǒng)的脆弱性并進行利用。因此,在進行真正滲透之前,我們通常需要對發(fā)現(xiàn)的脆弱性進行分析,分析和評估該脆弱性可能會對目標系統(tǒng)造成的影響,并制定相應(yīng)的應(yīng)急預(yù)案。對于脆弱性的分析通常會借助外部的脆弱性掃描工具如Nessus,QualysGuard ,WebInspect或者是Nikto2等等進行脆弱性的發(fā)現(xiàn)和識別,測試人員會根據(jù)所發(fā)現(xiàn)脆弱性的類型,CVE(Common Vulnerabilities and Exposures)依據(jù)CVSS(Common Vulnerability Scoring System)對于脆弱性的評分,客戶被測目標系統(tǒng)所處的實際環(huán)境等因素進行綜合考慮以進一步對脆弱性進行分析。在PCI DSS第11.2中要求客戶需要每個季度或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級或修改后(例如操作系統(tǒng)升級、環(huán)境中添加子網(wǎng)絡(luò)或環(huán)境中添加網(wǎng)絡(luò)服務(wù)器)都需要執(zhí)行內(nèi)部和外部脆弱性掃描。外部 脆弱性掃描是需要由PCI SSC授權(quán)的掃描服務(wù)提供商執(zhí)行,業(yè)界的術(shù)語叫做ASV(Approved Scanning Vendors)。目前PCI DSS對于外部脆弱性掃描活動不僅僅要求需要由ASV開展,對于實際執(zhí)行脆弱性掃描的人員也需要經(jīng)由PCI SSC進行培訓,考核并獲得相應(yīng)資質(zhì)證書之后才能出具具有資格的掃描報告。在滲透測試脆弱性分析的階段,測試人員可以參考客戶提供最近的ASV掃描報告作為脆弱性分析的輸入數(shù)據(jù)。
在完成對脆弱性分析之后,測試人員會根據(jù)與客戶之間的滲透測試方法和協(xié)議進一步對脆弱性進行滲透或者利用。在測試過程當中,滲透測試人員可能在初次攻擊完成之后獲得了有限的權(quán)限,此時滲透測試方法和協(xié)議則是測試人員最好的參考。如果客戶允許執(zhí)行進一步的權(quán)限提升操作,測試人員則可能會嘗試將以獲得的權(quán)限提升至管理員級別或者系統(tǒng)級別的權(quán)限。
在完成對脆弱性的滲透和利用之后,測試人員會對滲透的結(jié)果進行評估和判斷,以確定脆弱性的可利用價值,同時滲透測試的過程以及測試過程中發(fā)現(xiàn)信息將會被編寫到最終的滲透測試報告當中。對于在滲透測試過程當中,由于特定的原因(如客戶的要求,漏洞利用條件的限制等等)導致脆弱性并沒有被實際測試,測試人員將會在報告當中描述惡意人員可能對該脆弱性使用的攻擊方法以及該脆弱性被成功利用后可能帶來的安全風險。
客戶根據(jù)滲透測試報告中所發(fā)現(xiàn)的脆弱性以及測試人員提供的解決方法進行脆弱性修復。對于完整的滲透測試流程通常還會包含對修復后的脆弱性進行驗證測試,從第三方的角度去評估脆弱性修復的有效性。
基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測試
對于PCI DSS第 11.3中有要求至少每年或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級或修改后需要執(zhí)行內(nèi)部和外部基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測試。何為應(yīng)用層滲透測試?何為網(wǎng)絡(luò)層滲透測試呢?應(yīng)用層滲透測試指的是對web應(yīng)用程序進行滲透測試,測試要求覆蓋OWASP Top 10(OWASP項目組會周期性的根據(jù)OWASP聯(lián)盟中應(yīng)用開發(fā)和測試專家反饋的結(jié)果定期對web應(yīng)用面臨的安全問題進行統(tǒng)計和排名,Top 10是web應(yīng)用程序前10名影響最大的脆弱性)中的所有安全問題。對于網(wǎng)絡(luò)層的滲透測試,通常是指對操作系統(tǒng),網(wǎng)絡(luò)設(shè)備等系統(tǒng)組件進行系統(tǒng)級別的滲透測試。
下圖是2007年和2010年OWASP Top 10的排名對比。從圖中可以看到Top 10的內(nèi)容在這兩年的評估當中出現(xiàn)了變化。所以在滲透測試過程當中我們除了參照PCI DSS的要求之外,還需要參照OWASP最新的關(guān)于Top 10的排名情況。
怎樣選擇合適的滲透測試合作機構(gòu)
前面介紹了很多關(guān)于滲透測試介紹,以及測試流程和方法,然而我們在實際執(zhí)行滲透測試工作的時候,應(yīng)該如何選擇合適的滲透測試實驗室或者滲透測試人員進行測試工作呢?對于滲透測試人員的選擇,PCI DSS在第11.3的要求:測試人員可以是內(nèi)部具有能力且獨立的內(nèi)部人員或者外部合格的第三方評測機構(gòu)。對于內(nèi)部人員的選擇,技術(shù)能力的考慮和測試人員的獨立性是最為重要的因素。對于第三方的評測機構(gòu)的選擇,除了技術(shù)水平的考慮,以下的參考因素能夠為客戶在滲透測試過程當中可能會面臨的安全風險提供很好的安全保障。
專一性,IT安全是否是該公司的主營的業(yè)務(wù)?
該公司自身是否切實執(zhí)行IT安全流程?
評估機構(gòu)和他們員工是否具有相關(guān)的資質(zhì)?
該評估機構(gòu)是否為行業(yè)的領(lǐng)導者,幫助或者能夠分享相關(guān)的標準信息?
該機構(gòu)是否具有相關(guān)的成功項目經(jīng)驗?
該評估機構(gòu)是否能夠提供除滲透測試以外其他能夠提高客戶流程等有價值的服務(wù)?
該評估機構(gòu)是否能夠在很多不同的技術(shù)領(lǐng)域提供專業(yè)知識和經(jīng)驗?
評估機構(gòu)安全評測的獨立性,是否能夠為客戶提供第三方獨立的不帶任何偏見的評估報告?
該評估機構(gòu)是否為客戶提供足夠的保險和合理的法律協(xié)議保障?
誰是該評估機構(gòu)的服務(wù)客戶?
【編輯推薦】
