[[311753]]

今年以來，紅藍攻防演練在企業安全服務市場變得非常火熱，特別是在演習行動推動下，很多企業都會在實際演習行動之前都會進行一兩輪、甚至三四輪的攻防演練，以提前發現企業安全體系建設中的短板與弱項。然而，有些企業就開始有點迷茫了，我們公司一直在購買滲透測試服務，還有必要搞紅藍攻防演練嗎?滲透測試與紅藍攻防演練到底有何不同呢?在此，筆者就來聊聊滲透測試的各種姿勢，以方便大家在購買安全服務時進行比較。

一、滲透測試基本概念

根據百度百科的定義：滲透測試是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。搜狐網某網友分享的定義：滲透測試就是在取得客戶授權的情況下，通過模擬黑客攻擊來對客戶的整個信息系統進行全面的漏洞查找、分析、利用，最后給出完整的滲透報告和問題解決方案。從這些定義看，滲透測試內涵其實還是非常寬泛的，沒有限定具體的表現形式。因此，在具體實施過程中，甲方公司根據各自的企業情況(如風險容忍程度、CTO/CSO個人喜好、預算投入、財務制度等)進行靈活的協商，形成了適應企業實際情況的滲透測試模式，可以說，在一千個企業里，就存在著一千種滲透測試模式。

二、滲透測試的各種姿勢

不過，從筆者觀察來看，這些不同的滲透測試模式，大致可以分為以下五種：上線前的滲透測試、上線后定期在線安全測試、依托眾測平臺的安全眾測、自組織的安全眾測、紅藍攻防演練。

(一)上線前滲透測試

這應該是各種企業安全測試的標配了，一般都是信息系統已經完成了聯調聯試，各項功能指標、技術指標已經達到了設計要求之后，在企業的測試環境中進行的一次滲透測試。從某種意義說，上線前的滲透測試就是一個安全的Checklist，一般關注技術性漏洞，利用各種工具檢查系統存不存在xss、文件上傳、越權訪問、命令執行等漏洞。滲透測試結果一般直接轉給業務系統開發人員，對企業內其他人員的安全意識傳導作用比較薄弱。

目標系統：單個業務系統的測試環境系統

涉及人員：業務系統開發人員、組織測試的安全人員

風險程度：最小，測試環境實施，不會影響業務。

發現問題的影響面：單個系統

乙方廠商組織形式：一般會采用購買人力包或項目包的方式實施，購買一至兩家安全廠商的服務，在此推薦至少購買兩家，形成競爭格局。

局限性：難以實現測試面全覆蓋、不能發現因上線過程中配置失誤導致的安全漏洞。

(二)上線后定期在線安全測試

因為上線前的滲透測試不能發現因上線過程中配置失誤導致的安全漏洞，所以，有些企業就會采用上線后定期在線安全測試的形式，比如，每季度、每個重大活動之前等。根據實際情況，在線安全測試的目標可以選擇專門針對某一系統或幾個系統，也可以選擇全量的在線業務系統。安全測試不僅是從技術角度正面進攻檢測漏洞，還會通過端口掃描、資產發現、管理后臺掃描等手段，發現因配置失誤導致的安全漏洞。

目標系統：一個或多個生產環境系統

涉及人員：業務系統開發人員、業務系統運維人員、組織測試的安全人員、安全監控人員

風險程度：存在一定風險，一是有些高危操作可能會給企業生產數據造成臟數據的風險;二是有些滲透測試人員發現漏洞不報告，私自下載企業業務數據。

發現問題的影響面：單個系統

乙方廠商組織形式：一般會采用購買人力包或項目包的方式實施，購買一至兩家安全廠商的服務，在此推薦至少購買兩家，形成競爭格局。

局限性：難以實現測試面全覆蓋。

(三)依托眾測平臺的安全眾測

2010年成立的烏云網，聚集了一批民間滲透測試高手，俗稱“白帽子”，后來發展成為國內頗具影響力的漏洞平臺。2011年，剛成立一年的烏云網連續披露京東、支付寶、網易等著名互聯網企業存在高危漏洞，此后又接連指出支付寶2500萬用戶資料泄露、如家酒店開房信息泄露、騰訊7000萬QQ群用戶數據泄露等一系列安全問題。據說，那時候企業安全人員每天起床的第一件事就是打開烏云平臺，看看有沒有自家的安全漏洞。烏云網的興起讓人們看到了滲透測試領域的“人民戰爭”、“群眾路線”威力。其后，烏云網因種種原因而停站，但是，其后卻興起了一批以專門提供眾測服務的安全廠商，比較典型的有漏洞盒子安全眾測平臺、360補天安全眾測平臺、阿里先知安全眾測平臺、SOBUG安全眾測平臺等。

隨著各企業互聯網應用不斷增多，傳統的安全滲透測試也面臨著測試人手不足、產品版本更迭太快來不及測試等問題。甲方廠商發現無論是代碼安全測試、上線前滲透測試，還是上線后定期安全測試，都無法完全及時發現企業全量的安全漏洞，各類安全漏洞平臺還是會出現自己的安全漏洞。與其坐以待斃，還不如主動作為，于是乎，有些甲方廠商就開始與眾測平臺合作，通過協議委托眾測平臺發布專業測試項目，參與項目的白帽子需通過審核認證后才能報名參與眾測項目，依托外部白帽子發現企業的安全漏洞。

目標系統：可以是一個或多個生產環境系統，也可以是待發布的測試環境系統。

涉及人員：業務系統開發人員、業務系統運維人員、組織測試的安全人員、安全監控人員

風險程度：存在較高風險，一是白帽子的管理較為松散，背景調查、身份核驗等難度較大。二是有些高危操作可能會給企業生產數據造成臟數據的風險;三是有些滲透測試人員發現漏洞不報告，私自下載企業業務數據。

發現問題的影響面：單個系統

乙方廠商組織形式：選擇一家互聯網安全眾測平臺作為安全眾測服務商，由其組織白帽子參與項目眾測，在白帽子之間形成競爭機制。與眾測平臺簽訂項目制，可以在眾測平臺在線公開發布眾測項目，也可以依托眾測平臺通過線下組織眾測項目。

局限性：難以發現高階安全漏洞。

(四)企業自組織的安全眾測

隨著眾測的發展，有些比較大的甲方廠商就開始存在不同的思路了。一是有些企業覺得與其到眾測平臺開眾測項目收集企業安全漏洞，還不如我自己直接接收白帽子的安全漏洞，于是，各大互聯網公司都開始建立各自的SRC安全應急響應中心，在其中提供專門的漏洞收集板塊，供白帽子提交漏洞，為白帽子提供積分、禮品、現金等獎勵。二是有些企業覺得眾測平臺較難管控安全風險，普通的滲透測試缺乏競爭機制，難以發現高階安全漏洞。于是這些企業就開始組織廠商眾測模式，選擇四五家安全廠商同時開展安全測試，然后按漏洞效果付費，漏洞等級高，付費就高，等級低，付費就低。

目標系統：一個或多個生產環境系統。

涉及人員：業務系統開發人員、業務系統運維人員、組織測試的安全人員、安全監控人員

風險程度：存在較高風險，一是SRC模式中白帽子的管理較為松散，背景調查、身份核驗等難度較大。二是有些高危操作可能會給企業生產數據造成臟數據的風險;三是有些滲透測試人員發現漏洞不報告，私自下載企業業務數據。

發現問題的影響面：廠商眾測可能會發現影響面較大的安全漏洞

乙方廠商組織形式：選擇多家(一般為2至5家)安全滲透測試公司，分別組織專業滲透人員參與項目眾測，按漏洞效果付費，在多家公司之間形成競爭機制，擇優淘劣。

局限性：安全漏洞數量不可控，企業投入可能較大，乙方的服務不能持續實施，一般以項目制形式，預算花完就停止服務。

(五)紅藍攻防演練

以上說的滲透測試都相當于單項打靶射擊考核，一次專項性的能力測驗，以發現技術漏洞的目的為主。而紅藍攻防演練考驗的是企業的整體防護水平和防護體系，如全體人員安全意識、防護系統檢測發現能力、目標系統漏洞情況等，既考驗了防護系統的有效性，又全面檢查系統各類漏洞情況，還考驗人員的安全意識。

因此，紅藍攻防演練一般是針對企業的全部信息系統、分支機構，不設具體目標、不限具體手段，全面檢驗企業的主動防護、安全檢測、應急處置等能力，發現系統技術漏洞反而是附屬性的。在攻防演練過程中，一，攻擊者會利用社工、邊邊角角系統等進行迂回包抄，直到達到入侵系統的目的為止。任何一點疏漏都可能導致整體防護體系的潰敗。攻防演練考驗的是企業的總體防護水平。二，攻防演練不僅能發現技術性漏洞，還能發現企業安全管理上的漏洞、防護體系上的漏洞、防護策略上的漏洞等。三、攻防演練的對象企業全體資產、人員、數據等，因此，任何一個人、系統都可能成為企業安全防護體系中的短板。最后在演練總結通報中，加以總結提煉，傳達到企業全員，可以達到提升全員安全意識的目的。在集中攻防演練期間，企業安全人員作為防守方，充分參與攻防過程，可以有效提升防護人員的技術水平。

目標系統：企業全體資產、人員、數據、系統。

涉及人員：企業全體人員

風險程度：存在較高風險，一是有些高危操作可能會給企業生產數據造成臟數據的風險;二是有些滲透測試人員發現漏洞不報告，私自下載企業業務數據。

發現問題的影響面：能夠全面發現企業安全體系的漏洞

乙方廠商組織形式：選擇多家(一般為2至5家)安全滲透測試公司，分別組織專業滲透人員參與紅藍攻防演練，按漏洞效果付費，在多家公司之間形成競爭機制，擇優淘劣。

局限性：安全漏洞數量不可控，企業投入可能較大，乙方的服務不能持續實施，一般以項目制形式，預算花完就停止服務。

三、滲透測試服務的選購建議

綜上所述，甲方企業在進行年度的安全滲透服務預算時，可以適當考慮多層次的安全滲透測試服務，以達到盡可能多的發現安全漏洞目的。

首先，上線前滲透測試和上線后定期安全測試應該是企業安全滲透測試服務的標準選擇。有些企業可能害怕滲透測試影響業務運行，而只選擇上線前滲透測試。但是，殊不知有些系統上線過程中產生漏洞危害也是巨大的，更有甚者，有些系統上線前根本就沒有經過安全滲透測試或者階段變更沒有經過安全滲透測試，這些都會導致滲透測試在流程上、機制上存在覆蓋盲點。

其次，安全眾測可以適當考慮投入預算，畢竟滲透測試領域的“人民戰爭”、“群眾路線”威力還是不可小覷的。預算少的中小企業可以在眾測平臺上開個眾測項目，預算多的大企業可以考慮建設自己的SRC服務，或者自己組織進行廠商眾測。有些人認為我們是很低調的公司，有沒有必要開個眾測項目來引起外部白帽子的注意力。在此，我想說的是，無論你低調不低調，漏洞總在那里，不主動去發現它、修復它，它始終在那里，與其被動挨打，不如主動出擊。

最后，大企業在進行安全滲透測試服務預算規劃和年度計劃時，應盡量能安排一些攻防演練經費，紅藍攻防演練給企業安全建設帶來的好處只有親身經歷才能體會其中真味。一是，每年固定一至倆個時間點(上、下半年各一次)，發布攻防演練通告，集中開展攻防演練工作(集中時間點)。二、一般企業可組織外部安全團隊進行攻防演練，防護方由企業內部人員擔當，攻擊者由外部企業組織。大廠一般都開始建立專門的安全滲透團隊，號稱企業藍軍，經常性開展攻防演練工作。三、滲透測試可適當形成奪標獎勵機制，要以企業的攻擊成果論英雄、給經費，不要讓外部企業感覺干多干少一個樣，有沒有效果一個樣。