选择灰盒安全测试工具,看准以下几点 – 作者:悬镜安全实验室

渗透测试是模拟黑客攻击站在第三方的角度上来测试系统的安全性,通过渗透测试发掘企业系统潜在的安全漏洞。通过对网站及APP应用等,进行非破坏性质的入侵攻击,获取系统权限,并将入侵过程和漏洞细节编写成测试报告,及时提醒企业客户完善安全策略,降低安全运营风险能力。

目前渗透测试主要分为以下三类。

黑盒测试

黑盒测试(Black-box Testing)也称为外部测试(External Testing)。采用这种方式时,渗透测试团队将从一个远程网络位置来评估目标网络基础设施,并没有任何目标网络内部拓扑等相关信息,他们完全模拟真实网络环境中的外部攻击者,采用流行的攻击技术与工具,有组织有步骤地对目标组织进行逐步的渗透和入侵,揭示目标网络中一些已知或未知的安全漏洞,并评估这些漏洞能否被利用获取控制权或者操作业务资产损失等。

黑盒安全测试局限性:

1.漏洞误报率极高。web2.0时代后,传统扫描器的怕丑引擎无法覆盖绝大部分的业务逻辑漏洞,势必造成大量漏报;

2.性能及效率低下。对于同一个漏洞类型的不同漏洞场景,需要多一条验证策略,长期积累产生大量冗余,测试时间不短增加,造成扫描器性能和效率低下。

3.漏洞误报率极高。由于网络环境、扫描器性能和策略缺陷等不可控因素的影响,会造成大量的漏洞误报。

白盒测试

白盒测试归纳总结来说是源代码测试。白盒测试(White-box Testing)也称为内部测试(Internal Testing)。进行白盒测试的团队将可以了解到关于目标环境的所有内部和底层知识,因此这可以让渗透测试人员以最小的代价发现和验证系统中最严重的漏洞。白盒测试的实施流程与黑盒测试类似,不同之处在于无须进行目标定位和情报收集,渗透测试人员可以通过正常渠道向被测试单位取得各种资料,包括网络拓扑、员工资料甚至网站程序的代码片段,也可以和单位其他员工进行面对面沟通。

白盒测试的漏洞误报率也比较大,而且在测试时需要将源代码放在工具上,漏洞检测率大概在50%左右,其他也需要人工进行确认。

白盒安全测试局限性(以常见代码审计工具为例)

1.检测效率低下。对于大型的web应用可能是几十或者上百万性的代码,无论是审计工具的运行效率还是漏洞的验证效率都是低下的。

2.代码场景覆盖难。对于日益复杂的代码实现场景和大量的开源项目,特别是封装包代码,策略难以覆盖到大量漏洞场景。

3.漏洞准确性低。由于纯粹的白盒无法运行代码,仅靠策略去确定一个漏洞是不准确的,故产生了大量冗余的工作,也降低了效率。

灰盒测试

灰盒测试(Grey-box Testing)是白盒测试和黑盒测试基本类型的组合,它可以提供对目标系统更加深入和全面的安全审查。组合之后的好处就是能够同时发挥两种渗透测试方法的各自优势。在采用灰盒测试方法的外部渗透攻击场景中,渗透测试者也类似地需要从外部逐步渗透进目标网络,但他所拥有的目标网络底层拓扑与架构将有助于更好地决策攻击途径与方法,从而达到更好的渗透测试效果。

2012年gartner提出一种新型运行时应用安全测试方案:IAST交互式应用程序安全测试。悬镜安全也看到了目前这个市场的空白,推出了悬镜灵脉AI-IAST渗透测试系统,在大量的场景下进行过测试,目前已经为金融、教育、政府、能源等行业客户提供WEB灰盒安全测试。灰盒安全测试规避了黑盒扫描和白盒代码审计技术的主要技术缺陷。灰盒交互式安全测试表现出检测效率高、业务逻辑覆盖高、漏洞准确性极高以及规范代码安全等特点。灰盒安全测试是站在黑盒与白盒安全测试的平衡位置,把测试放在应用功能的业务逻辑层面上,基本可以覆盖所有的应用业务逻辑,检测结果准确性也极高。灰盒测试工具实现了让测试效率更高,符合复杂应用的安全测试需求,更重要的是它规范了代码安全,从漏洞根源上纠正程序员的代码错误,形成一条安全编码基线,目前悬镜灵脉已支持优劣代码示例,可以帮助开发人员更好的规避代码不规范的问题。

受限于漏洞知识库和扫描原理,传统漏洞扫描系统无法挖掘业务逻辑漏洞,但悬镜灵脉AI-IAST渗透测试系统已支持不限于:身份认证安全、验证码限制被绕过、业务一致性安全、业务数据篡改、认证权限找回逻辑、业务授权(水平/垂直越权)安全、业务流程乱序、业务接口调用安全等。

很多朋友在调研灰盒安全测试工具时,都会问我,我们主要从哪些方面评估一个工具的好坏呢。管理者在使用安全评估工具时,目前市面上琳琅满目的商业化扫描检测工具,实在难以入手,作为专业的软件供应链安全解决方案厂商,我们建议从以下维度来综合评估渗透测试工具的能力。

第一:安全赋能的能力

评价一款好的产品,不仅仅是从功能上,更重要是是团队成员的使用及成长。快速的帮助企业建立内部的众测模式,且不增加研发、测试、运营及安全部门的工作量,不变更原有的工作方式,零门槛透明化的实现全员参与安全众测,防止应用带病上线。

第二:多种检测模型

内置 AI 启发渗透、网站嗅探扫描、 供应链威胁审查三种检测引擎。采用爬虫 2.0 信息抓取技术, 同步页面的抓取能力和强大的规则更新能力保证了网站嗅探扫描的出色表现。 在此基础上,灵脉拥有业界领先的 AI 启发渗透,将人工漏洞检测思路转化为机器语言,通过机器学习、模型训练深度挖掘客户业务场景,系统具备全面自适应能力,完美解决传统漏扫工具无法具备的业务逻辑检测能力。供应链威胁审查引擎可全自动、高性能、智能化分析应用中是否包含木马后门等威胁,方便用户第

一时间发现并解决问题,避免部署及应用安装环节带“毒”上线。

第三:漏洞闭环能力

漏洞及项目管理平台,动态跟踪整个开发运营过程中的漏洞爆发及修复情况,智能分析各开发部门漏洞收敛进度,实现漏洞从发现、确认、修复、复查等关键生命周期的全流程闭环管理。

第四:各种自定义

客户使用一款产品时,不单单是使用功能这么简单了,客户的需求也在慢慢的提升。比如能不能自定义漏洞规则检测,能不能自定义漏洞检测,可不可以设置自定义负载控制等。

目前悬镜灵脉AI-IAST渗透测试平已经支持高度自定义漏洞检测规则,形成适配甲方自身业务场景的特有检能力。且用户可以根据自身需求,针对制定类型的安全漏洞进行针对性扫描,有效应对突发漏洞和上级监管机构的紧急排查需求。我们悬镜灵脉AI-IAST渗透测试平台已允许用户结合自身网站业务情况自定义检测负载,确保整个检测路程不会因为扫描太快影响业务导致系统瘫痪,也不会因为负载并发太小影响扫描效率。

第四:多业务平台支持

传统漏扫产品仅支持单一平台漏扫,灵脉在网站漏洞检测功能的基础上,还创新实现了对移动 App、小程序、微信公众号等多平台综合检测,使客户能够一站式系统地对各平台应用做出综合的分析评估。

自动化的工具会大大降低企业人员的运营和维护成本,提高企业的生产效率。在选择合适的灰盒安全测试工具,对于企业安全部门会起到事半功倍的效果。

来源:freebuf.com 2019-11-06 17:24:09 by: 悬镜安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论