Bianca Wright

為什么漏洞發現獎勵制度正在興起？

即便是準備最為充分的公司在應對網絡安全挑戰時也會感到氣餒。正如道德黑客Jamie Woodruff在“活力數字未來”大會上所做演示時所言，“你最弱的員工決定了你的基礎設施的強度。從入侵、破解到社交工程，公司中每名團隊成員都屬于需要管理的風險。”

安全測試公司CA Veracode的EMEA解決方案架構師經理Paul Farrington指出，《2017年軟件安全狀況報告》顯示，77%的應用在初步掃描時會至少有一個漏洞，因此谷歌和蘋果等大型公司都設立了自己的漏洞發現獎勵制度，雇用或是鼓勵道德黑客查找他們軟件應用中的漏洞也就不足為奇了。

像Woodruff這樣的道德黑客或滲透測試者能夠與公司合作查找陷阱和潛在問題，進行滲透測試并幫助保護公司和公司數據的安全。由于網絡安全技能的差距和人才短缺正在持續影響這一領域，因此將外部技能引入到測試系統中具有重大意義。

對滲透測試者的需求正持續增長

ISACA的《2017年網絡安全狀況報告》顯示，盡管三分之一的受訪者稱他們的企業收到了10多名報名者對這一空缺職位的申請，但是其中64%的受訪者表示只有不到半數的報名者符合條件。報告還指出，即便是技能熟練的人，“在被雇用后也需要時間和培訓才能達到企業已有人員的水平并勝任他們的工作。”

隨著對這些技能的需求持續增長以及公司開始重視雇用滲透測試者，整個行業正在努力提升這一領域的聲譽，因為之前他們的聲譽一直不是很好。道德黑客這一術語本身就存在問題，其中含有負面的含義，尤其是在其發展歷史上。曾經被稱為白帽黑客的人如今更喜歡被稱為滲透測試者，其認證和資格評審也正日益規范。

RiskSense的首席技術官Danny Quist博士稱：“我的首個滲透測試團隊（紅隊）過去并不承認他們的存在。這種情況正在快速發生變化。如今成為一名黑客需要有天生的好奇心和學習能力。”他還補充道，專業的訓練讓成長之路變得更加容易。如今這些專業訓練已經有了充足的可用資源，其中包括YouTube視頻、相關書籍和當地的Defcon/2600小組。Quist說：“特許學校的黑客培養正在從孩子抓起。軍隊則直接從高中征召人員并將他們培訓成黑客。如今已經有了相關的資格認證和培訓方案，大學也開設了相關的專業。”

CREST是一家代表技術信息安全行業的非營利認證機構。他們為從事滲透測試、網絡事件響應和威脅情報服務的機構和個人提供國際承認的資格認證。

CREST總裁Ian Glover說：“我們引入了專業級的資格認證。這些資格認證已經得到了行業、政府、雇主和個人的承認，等級從基礎入門級到專家級以及10000小時級甚至更高級都有。”

CREST強調所有的會員公司都要接受定期的嚴格評估。獲得CREST資格認證的個人必須要通過嚴格的考試以證明自己的學識、技能和工作能力。CREST由經驗豐富的安全專家組成的執行委員會管理，這些專家還將促進網絡安全市場中的意識、道德與標準的發展。

Glover還補充道，雖然全球不同地區正在使用不同的解決辦法，但是實現行業專業化的推動力十分強勁。CREST將有助于在東南亞地區實現許可證制度和建立滲透標準。他說：“在新加坡，他們將要實施這些。如果你正在從事滲透測試工作但沒有獲得批準，那么你可能面臨兩年的監禁和50000美元的罰款。”

作為CREST會員企業的Context Information Security的部門主管Owen Wright說，他們的目標是讓公司的咨詢人員都獲得CREST的相關資格證書，這需要很高的學識與技術水平。如果要訪問受保護的重要信息和資產，任何外部咨詢人員都必須要獲得安全許可，至少要是安檢（SC）級許可。

他解釋說，公司使用道德黑客進行滲透測試以識別IT系統漏洞的力度正在增加。一旦突破，滲透測試者通常會進一步利用漏洞并嘗試提升權限以徹底查明風險的等級。

Wright說：“‘紅隊測試會模擬公司遇到的真實攻擊以評估公司安全防護的有效性。”這通常包括觀察人員和程序以查看他們在面對真實攻擊時是如何應對的。

Wright將這比作消防演練。每個人都知道在火警響起時需要撤離建筑物并清楚最安全的逃生路線。消防演練會發現大門被上鎖、消防水龍頭缺失或不起作用等問題。他說：“通過找出漏洞、發現安全策略與執行之間的差距以及最終的風險管理，滲透測試能夠提供與真實攻擊相同的體驗。”

技術信息隨后必須要轉化為商業情報。FarrPoint公司的網絡安全顧問Dan Brown說，道德黑客已經從純粹的技術角色轉變為了與業務持續性和技術漏洞風險息息相關的角色。在過去十年里，他發現這一角色已經越來越受歡迎。

“公司經常發現他們將這些純技術性的報告轉換為他們能夠看懂的風險，就像他們應對的其他業務風險那樣易懂是一項艱巨的挑戰。滲透測試者將與網絡安全顧問共同工作以將這些風險轉換為他們熟悉的商業指標。”

滲透測試的四大關鍵驅動力

SecureData公司首席安全策略官Charl van der Walt指出了滲透測試的四大關鍵驅動力。首先是檢驗盒。許多客戶因為合規性的原因被迫展開滲透測試，這導致經常出現被迫采購，客戶幾乎沒有合作，沒有學習動力，也沒有意愿去修補已發現的問題。他說：“這類測試經常無法避免，但是合規性絕對不是一個展開滲透測試的好理由。”

第二個關鍵驅動力被van der Walt稱之為“新頭盔”。他指出這和一段YouTube視頻中小男孩拿到新自行車頭盔后立即戴上它以跑步方式高速向墻上撞以測試頭盔的性能如出一轍。想知道它們是否會起作用，那么最好的方式就是戴上進行測試。

“即便是最世故的IT操作部門中也有像視頻中的小男孩這樣的員工。為這些風險、漏洞和威脅管理投入了大量時間和資金的人想知道，他們真的很想知道自己將如何抵御一個集中攻擊以及經歷整個考驗是一種什么感覺。這是一種原始的心理驅動力，雖然難以獲得預算但是會立即吸引具有好奇心的員工和公司。”

他解釋說，這一價值體現在情緒和管理上。“在滲透測試期間向首席技術官展示首席執行官電子郵箱收件箱中泄露出來的郵件副本，那么隨后關于信息安全的所有討論都會換上另一副完全不同的語調。對于那些試圖說服董事會或管理者讓他們重視安全性的首席信息安全官來說，這是一個非常有說服力的示例。”

van der Walt說，漏洞發現獎勵為第三個驅動力。許多成熟的公司，尤其是那些自己開發軟件的公司已經把對新代碼版本進行滲透測試作為公司的策略。明確攻擊范圍、設置具體目標、安排測試者輪流實施、記錄和追蹤發現的漏洞等機制已經被明確制定并被嚴格執行。

van der Walt說：“有意思的是在這類測試中，測試者的主要價值并不是某一種技能或學識，而是一種視角。即以攻擊者的思維和行為方式進行訓練、引導和激勵，而不是站在建設者的視角上。客戶自己的員工很少會站在這種視角上進行評估。”

最后一種是Wright提出的戰爭游戲，也是最有趣的。Van der Walt說，盡管這一套通常出現在軍隊和政府當中，但是它們已經逐漸被商業世界所接受。

他說：“我們作為公司也喜歡這種測試，不光是因為這非常有趣，更因為我們可以自由地模擬真實的對手，而不是面對政府或行業標準以及其他的行業測試者。”

道德黑客相當于便宜的保險

《SANS網絡戰網絡城市》作者兼美國系統網絡安全協會（SANS Institute）“SEC560：網絡滲透測試與道德黑客”課程首席教官Ed Skoudis說，通過發現程序、技術和安全感知中的瑕疵，道德黑客能夠根據實際問題而非理論上的漏洞給出切實的建議。他說：“通過這種方式，道德黑客能夠幫助組織機構分配稀缺資源以便更為有效地展開網絡防御。”

Skoudis表示，從道德黑客或滲透測試者那里獲取最有價值的東西的關鍵，在于找到既擁有出色技術又能知道如何為公司提供價值的人才。他強調說：“將這些領域融會貫通至關重要。”在技術層面上，道德黑客應當能夠模擬組織機構常見威脅所使用的攻擊技巧，這些威脅包括網絡犯罪分子、國家、不懷好意的內部人員等。

此外，他指出：“道德黑客還應當清楚如何以組織機構的內部語言描述風險。不同的組織機構會面臨不同類型的風險并會以不同的方式討論。”根據組織機構的不同，業務風險包括金融影響、監管疏漏、物理安全、形象損害等。“你的道德黑客能夠幫助將潛在攻擊與業務風險聯系起來，因此你能夠確保自己的防御適用于當面面臨的威脅。”

他補充道，尋找道德黑客的價值在于他們能夠針對提升防御能力給出切實的業務建議，而你的運營團隊也能夠實際執行這些建議。“一些道德黑客實際上很擅長推薦實用的技術。我們應當盡力尋找他們。”

盡管漏洞發現獎勵制度和道德入侵是網絡安全中非常重要的一個環節，但是Farrington反對只依靠道德黑客來查找安全漏洞。研究表明，道德黑客發現的大部分漏洞能夠在開發階段通過培訓或測試被開發人員堵上。對此，他指出：“組織機構必須要確保自己在軟件應用開發方面有一套完整的解決方案。”

道德黑客的價值在于防范于未然。正如Quist所言：“道德黑客要使用與不道德黑客相同的戰術、技術和程序。他們之間的最大區別在于你能夠知道他們發現了什么以及如何解決。道德黑客相當于便宜的保險。”

原文網址

https：//www.csoonline.com/article/3266671/security/testing-the-waters-the-value-of-ethical-hacking-for-business.html