2024年5月,黑客 IntelBroker 和 Sanggiero聲稱,他們已經(jīng)成功侵入英國金融巨頭匯豐銀行和巴克萊銀行的內(nèi)部網(wǎng)絡(luò),并竊取了大量的敏感數(shù)據(jù)。Hackread.com證實,這些被竊取的信息已經(jīng)在黑客論壇Breach Forums上被泄露。
隨著全球信息化的發(fā)展,網(wǎng)絡(luò)攻擊、信息泄露、網(wǎng)絡(luò)詐騙等問題頻發(fā),對個人隱私和企業(yè)機密構(gòu)成了嚴(yán)重威脅。有數(shù)據(jù)顯示,全球500強公司的價值,有80%來自知識產(chǎn)權(quán)和其他無形資產(chǎn),這意味著資產(chǎn)數(shù)字化帶來便捷的同時,也帶來了巨大的安全風(fēng)險。
如何在加快企業(yè)數(shù)字化的同時,還能保證數(shù)字資產(chǎn)的安全,成了擺在企業(yè)管理人員面前最重要的問題。
滲透測試:網(wǎng)絡(luò)安全“試金石”
很多企業(yè)雖然意識到了網(wǎng)絡(luò)安全的重要性,但在實際工作中,卻面臨很多問題:
首先是人員的專業(yè)性。在企業(yè)的實際運作中,對于信息化系統(tǒng)更偏重于使用。所以,在人員配置上,也更注重系統(tǒng)管理和應(yīng)用方面。這就造成了信息系統(tǒng)日常使用和維護(hù)沒問題,一旦遇到突發(fā)的、有目的性的網(wǎng)絡(luò)攻擊,缺少精準(zhǔn)、高效的應(yīng)對方案和手段。
其次是人員成本問題。黑客一般都技術(shù)水平較高,“有備而來”,企業(yè)如果要招聘能應(yīng)對大多數(shù)黑客手段的技術(shù)人員,往往需要更高的薪酬待遇。對于很多企業(yè)而言,因黑客攻擊等小概率事件而配備全職的信息安全團(tuán)隊,是不合算的。
并且在日常工作中,系統(tǒng)維護(hù)管理人員往往并非開發(fā)人員,對于信息化系統(tǒng)缺乏足夠全面的認(rèn)知。讓他們在面對突發(fā)性入侵事件時,容易找不到問題根源,造成不必要的損失。
如何解決這些問題?中國金融認(rèn)證中心(CFCA)網(wǎng)絡(luò)安全專家介紹,滲透測試是一種有效發(fā)現(xiàn)系統(tǒng)漏洞、保障網(wǎng)絡(luò)的措施,可應(yīng)對上述問題。
滲透測試是由專業(yè)的安全服務(wù)人員模擬黑客攻擊時常用的技術(shù)手段,對目標(biāo)系統(tǒng)發(fā)起的模擬黑客攻擊行為。其目的在于充分挖掘和暴露系統(tǒng)的弱點,讓系統(tǒng)維護(hù)管理人員了解面臨的威脅。
由于主持滲透測試的測試人員具備豐富的安全經(jīng)驗和技能,所以其針對性比常見的脆弱性評估會更強,粒度也會更為細(xì)致。
其次,一般的系統(tǒng)維護(hù)管理員由于缺乏網(wǎng)絡(luò)攻防經(jīng)驗和專業(yè)攻防技能與知識,無法發(fā)現(xiàn)一些安全缺陷可能導(dǎo)致的嚴(yán)重問題。但專業(yè)的測試人員可以憑借豐富的經(jīng)驗和技能,把一系列看似無關(guān)聯(lián)且不嚴(yán)重的缺陷串聯(lián)起來,發(fā)現(xiàn)最終的問題并解決。
第三,滲透測試是一個從空間到面、再到點的過程。測試人員模擬黑客的入侵,從外部整體切入,最終落到某個威脅點并加以利用,進(jìn)而對整個網(wǎng)絡(luò)產(chǎn)生威脅。以此明確整體系統(tǒng)中的安全隱患點。
在這個過程中,測試人員會與系統(tǒng)維護(hù)管理人員進(jìn)行全程溝通。從實際入手演示風(fēng)險,有效激發(fā)管理人員“杜絕任何細(xì)小缺陷”的風(fēng)險意識。管理人員通過對安全問題的跟進(jìn),可對安全問題產(chǎn)生的原因、被利用的場景、可能導(dǎo)致的危害等有詳細(xì)了解,從而提升安全認(rèn)知,后續(xù)遇到類似或相關(guān)安全問題時可更加從容地應(yīng)對。
完成系統(tǒng)各個部分的滲透測試后,測試機構(gòu)會出具詳細(xì)的《滲透測試報告》。不僅針對每種威脅、漏洞利用進(jìn)程進(jìn)行詳細(xì)描述,還包含解決方案和安全建議,為管理員化解威脅、修補漏洞提供重要參考。
由于滲透測試專業(yè)性很強,開展難度較大,在進(jìn)行相關(guān)測試時,要尋找專業(yè)、合規(guī)的第三方機構(gòu),確保測試結(jié)果的獨立、公正、客觀、全面。在國內(nèi),一般會委托權(quán)威、專業(yè)、有口碑的信息安全機構(gòu),如中國金融認(rèn)證中心(CFCA),來實施網(wǎng)絡(luò)系統(tǒng)的滲透測試。
據(jù)了解,CFCA是由中國人民銀行于1998年牽頭組建,經(jīng)國家信息安全管理機構(gòu)批準(zhǔn)成立的權(quán)威電子認(rèn)證機構(gòu),也是我國重要的信息安全基礎(chǔ)設(shè)施之一。CFCA滲透測試內(nèi)容主要包括對操作系統(tǒng)、應(yīng)用服務(wù)的已知漏洞、不安全配置以及Web應(yīng)用系統(tǒng)的常見WEB漏洞、業(yè)務(wù)邏輯漏洞測試。
CFCA滲透測試的核心優(yōu)勢是擁有一支高素質(zhì)的信息安全專業(yè)技術(shù)人才隊伍,大部分工程師都擁有多年的信息安全服務(wù)工作經(jīng)驗和信息安全產(chǎn)品開發(fā)經(jīng)驗。資深的信息安全工程師擁有十年以上的信息安全技術(shù)和管理經(jīng)驗。這使得CFCA在從事信息安全服務(wù)工作中多次為客戶留下技術(shù)過硬、業(yè)務(wù)精通、管理經(jīng)驗豐富的印象。
