https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

滲透測試服務將在2009消失?

2009 / 04 / 06
編輯部
滲透測試服務將在2009消失?
系統上線後的安全還包含了作業系統、網路組態等,要用程式碼檢驗完全取代掉滲透測試的功能,目前是無法做到的。

最近看到有一篇文章「滲透測試服務將在2009消失」(註1),文中的觀點是認為滲透測試(PT, Penetration Testing)服務是算是品保(QA)與測試的一環,也是防禦縱深(defense in depth)的一環,但是作者從「軟體品質」的角度來看,似乎滲透測試可以被軟體的開發過程之安全檢測所取代掉。原始碼檢測廠商亦認為,滲透測試的時代已經過去了。也有讀者認為,這樣說只是廠商為了推銷原始碼檢測的白箱測試,甚至誇大了其功能。說滲透測試將亡有點太過於悲觀而且武斷,因為這樣的觀念目前是沒有可以完全取代的其他辦法,系統上線之後的安全不僅是應用系統的程式安全,還包含了作業系統、網路組態以及網站伺服器的安全,所以說要用所謂的程式碼檢驗完全取代掉滲透測試的功能與目的是沒辦法做到的。
有幾位滲透測試業者認為,嚴格來說滲透測試的品質現在已經很難去判定和維護,因為滲透測試沒有100%保證一定可以找出問題,也就是說,我可能接了幾百萬的專案,但是我只花1天就做完所謂的滲透測試,一種是已經發現1~2個重大問題,達到可以交差的目標,另外一種是用自動工具隨便掃描,也是可以交差…了事,已經是現在滲透測試市場的惡習,再請教其原因,則是大多人都宣稱可以做滲透測試,然而滲透測試真的涵蓋所有你想測試的範圍和攻擊手法嗎?而如果接案的人沒有用心做,你也看不出來,對吧!?
一位資安專家表示,PT服務的品質決定於合約中是否提供服務的水準協議與價錢,可是PT怎麼談SLA(服務水準協定)呢?其中一個項目就是,保障花在貴公司專案上的時間,因為現在PT專案很多,但是提供優良服務者有限,有限的人和時間,怎麼可能接那麼多的案子?平常做1個PT專案就要花上1個星期作業,然後再加上驗證和寫報告的時間,2個星期的「工作天」是最小的專案時程,所以如果有人跟你說他1個月接了6個PT案,那他不是整天不用睡覺的超人,就是這PT專案的品質堪慮。
OSSTMM的迷思!?
OSSTMM(Open Source Security Testing Methodology Manual)安全測試方法的公開文件手冊,不是只針對Open Source軟體,這是常見的誤解,在很多滲透測試服務的專案需求中經常將之條列為參考要件之一。但是既然只是參考,通常都是宣稱可以符合OSSTMM的「程序」以及「文件規格」,他把滲透測試、白帽入侵(ethical hacking)、技術稽核(hands-on auditing)與弱點掃描都打到一邊去,只有OSSTMM Security Testing 才能提供高正確性和完整性的測試結果。但是真要做到OSSTMM這種非常學理、理論的程序,其實真的綁手綁腳,可能大多的時間都花在寫無用應付的文件,根據OSSTMM達到高完整性是有可能,但是要做到高正確率則與技術能力有關,雖然ISECOM(Institute for Security and Open Methodologies)也提供了相關的滲透測試人員能力的證照,不過從內容來看,僅是對於滲透測試程序的能力檢驗,應該與滲透測試技術能力無關,所以僅能給您程序上的滿足而非技術面的資格條件,下次把OSSTMM放在專案規格中,必須要特別注意此原由,免得發生大家都知道,但是都做不到的狀況。
滲透測試並非萬能
其實,採用滲透測試方法來驗證系統安全的企業,往往也有一些錯誤的觀念,以下幾個問題是你應該面對的,這次做完滲透測試就安全了嗎?這次滲透測試做的夠完整嗎?下次有弱點出來系統還安全嗎?滲透測試專案是否包含你想要做驗證的範圍,系統週邊的連動性(或者可能被附近機器拖累的機會大不大)?
此外,現在客戶會開始考慮一些更具預防性功能的方案,例如從更前面的原始程式檢查來看,比起事後再透過滲透測試與弱點掃描的工具來看,原始碼階段的檢查會看到比較多的問題,但是這應該是互補的方案,而不是誰取代誰的問題。上述該篇文章後面的讀者回應中,就有人質疑是不是因為廠商自己的利益才這樣說,根本就是別人的都沒用,老王賣瓜就是棒的寫照。而滲透測試也是拿來做資安防禦成效的衡量指標之一,但是你如果找到的滲透測試廠商並非其所宣稱的夠厲害或者沒按照約定的方式進行,身為出錢的甲方,卻無法有任何拒絕或挑剔的機會嗎?
另外有一種看法是,PT 可能轉型為固定網路弱點監控作業或者是每季定期的技術稽核工作,因此年度滲透測試專案的預算可能會被切割成為好幾段,因此普遍的價格已經低到不能再低,在現在價格越來越差的狀況下,有能力接案者多接案件,以量制價,因此很多參與者已經單純使用自動化工具掃描做為大量進行PT專案的解決方法,服務品質自然大不如前!

什麼廠商類型給你什麼結果
SI廠商的資安PT服務的價值,在於後段可以賣產品與設備進入,因此對於PT服務的價值就可以先犧牲,後面再討回來,等於是先做工後消費的方式,資安服務廠商賣PT服務的價值則在於要賣後面資安服務的價值感。還有專門做PT服務的小型公司,通常是有足夠的客源與能力才從大公司分支出來自己賺,要注意的是熱門季節的接單能力與品質。總之滲透測試服務對客戶而言是個檢驗自己的方式,對廠商而言是個敲門磚,同時也牽涉到您未來合作的模式與對象。
從該篇文章看來,現在網路與媒體的發達之下,很多內容已經沒辦法確保他的品質和正確的理念,如果被用來做所謂的置入式行銷也就罷了,但是千萬不要誤導視聽才是。就像是一些之前出現過的產品,也會有消失的一天,但是他不是真正的死亡了,而是轉化成其他的小片段,依舊存在我們的四周,但是滲透測試將消失這的確是個不大可能實現的預言。
爭取一個好的滲透測試服務合約
要思考以下幾個問題:

1.做滲透測試的目標是甚麼?要做多大的範圍?
2.廠商提供的作業能否達成專案目標和範圍? 
3. 廠商能力是否可如預期達成專案目標或如何驗證廠商所提供的能力足以完成該專案 (例如找出多少問題與改善建議)?
4.必須要在合約中約定:服務水準與專案管理方式
5.使用哪些工具,做到什麼程度都必須事先說清楚寫下來。
6.參與人員的非技術能力條件如何驗證?品格很重要:必須簽定保密合約。