多年來，滲透測試向來是確定一家公司的數字化基礎設施安全級別的主要手段。然而，如今有越來越多的安全專家在質疑滲透測試的有效性。

Infoblox公司歐洲、非洲和中東區的技術主管Chris Marrison著有博文《現在是不是該放棄滲透測試了?》，他對這個問題發表了個人觀點。Marrison說：“由于沒有一個防火墻百分之百有效地將攻擊者拒之門外，又由于網絡繼續日益龐大、形態發生變化，很顯然企業現在需要采用一種新的方法來保護其IT基礎設施。”

到底何謂滲透測試?

大多數數字取證和安全專業人員在其職業生涯的某個階段會用到美國系統網絡安全協會(SANS Institute)的滲透測試課程。知道了這一點，有必要看看SANS是如何定義滲透測試的。據SANS聲稱，滲透測試具有下列特點：

•模擬現實世界中的攻擊者的活動;

•找到目標系統中的安全漏洞;

•在受到控制的環境下利用已發現的安全漏洞;

•以一種安全的方式確定風險并記錄風險和潛在的業務影響，并且遵守約定的交戰規則。

•幫助企業確定資源的優先級，從而改善安全狀況。

Marrison搬出理由

首先，Marrison指出，網絡攻擊已從到處炫耀的惡作劇演變成嚴重的、牟取錢財的高級持續性威脅(APT)，不法分子更喜歡盡可能長時間地隱姓埋名。在Marrison看來這意味著，“安全團隊需要把注意力放在別處，不是放在什么威脅偷偷潛入到系統中，而是放在什么威脅導致信息外泄。”

據Marrison聲稱，滲透測試的可行性面臨的另一個問題是，缺少明顯的網絡邊界。由于數量激增的移動設備、云服務、物聯網設備以及Marrison所謂的影子IT，現在很難劃定公司與龐大互聯網之間的界線。Marrison說：“簡而言之，需要巡邏的柵欄里程越長，潛在的入口點越多，將攻擊者拒之門外就越困難。按道理講，這將意味著滲透測試現在比過去來得更重要，但是實際情況未必如此。”

來自內部的攻擊

攻擊者在誘使公司員工發起對外連接，從而避開邊界防御機制。兩種最流行的方法就是使用網絡釣魚電子郵件，或者欺騙員工訪問惡意網站。據Marrison聲稱，內部人員在公司的網絡邊界外面建立一條連接讓APT攻擊者得以趁虛而入。思科公司的《2014年年度安全報告》證實了Marrison的說法。報告聲稱：“大多數企業(無論規模大小)都已經遭到了危及，卻渾然不知：思科分析的100%的企業網絡其流量傳輸到惡意軟件潛伏的網站。”

Marrison說：“對IT安全團隊來說，現在可能更重要的是，找到行之有效的方法來監控、發現、識別已經潛入到網絡中的惡意軟件和威脅，并采取相應的補救措施，而不是將資源投入到滲透測試等措施上。”

測試滲透人員并不贊同

安全顧問兼講師Matthew J. Harmon也在講授滲透測試方面的SANS Institute課程。我聯系上了Harmon，請他談談滲透測試在對付網絡攻擊方面所起的作用。

Harmon表示，大多數APT攻擊利用了“可憐的安全衛生”。至于這句話的意思，Harmon讓我參閱網絡安全委員會(Council on CyberSecurity)及其關鍵安全控制(Critical Security Controls)框架。該框架包括20種控制機制。SANS網站解釋：“這些控制源自最常見的攻擊模式，在政府和行業組成的廣泛社區得到了全面的審查，由此形成的一套控制機制得到了強烈的共識。它們為立即采取的重要行動充當了基礎。”最重要的前五項控制機制如下：

1. 清點授權設備和未授權設備;

2. 清點授權軟件和未授權軟件;

3. 保護移動設備、筆記本電腦、工作站和服務器上的軟硬件配置;

4. 持續不斷地評估及補救安全漏洞;

5. 惡意軟件防御。

不采用關鍵安全控制框架在Harmon看來是可憐的安全衛生。Harmon還指出，上述控制機制是滲透測試的必要部分，另外他還給出了加強客戶網絡安全狀況的若干方法。Harmon在陳述理由時最后發表了這番高見：“滲透測試的主要目的是，搶在企業的安全部門檢測和響應之前，查明攻擊者能夠利用什么漏洞、泄密什么信息。”

混合方法才是最佳之道

我詢問了SANS講師、Rendition Infosec公司的負責人Jake Williams是否需要滲透測試。他同意Marrison的觀點：監控和獲得可見性都很重要。Williams說：“但是，我不敢支持滲透測試不需要這一說法。你需要結合監控和滲透測試的這樣一種混合方法。”

英文：determining whether penetration testing is effective