浅谈风险评估在渗透测试中的应用

摘  要：渗透测试是一种模拟黑客对信息系统进行模拟攻击的一种测试方法，其旨在通过这一方法发现信息系统中的安全风险。并且能够在风险暴露之前进行修复。但是渗透过程中发现的风险或漏洞非常多，其重要程度不一致，进而无法准确判断出什么样的风险或漏洞需要修复，其紧急程度怎么样。本文将风险评估的方法应用到渗透测试评估中，旨在帮助相关安全人员能够对渗透测试结果进行有效评估，为相关运维人员或开发人员提供有效的修复建议。

关键词：网络安全；风险评估；渗透测试；             

引言

在渗透测试中，测试人员往往会发现多种漏洞或风险，如SQL注入、跨站脚本漏洞、文件上传漏洞、远程命令执行漏洞等。但是除了常见的高风险漏洞以外，往往还会发现大量的诸如点击劫持、明文传输等中低风险漏洞。并且渗透测试结果通常以漏洞的危险程度进行划分。但在实际环境中，信息系统也会按照单位使用的实际情况划分为核心系统、重要系统、边缘系统等。同样的漏洞，在不同重要程度的系统中，其危害程度不一定完全一致。同时，以漏洞危险等级的划分方法难以体现信息系统整体上的安全状况。因此，单纯的以漏洞严重程度对单位中的信息系统进行风险评判是片面的，且存在不准确性。通过在渗透测试中引入风险评估方法，可以科学和有效地对目标信息系统进行评估。引入风险评估的渗透测试，就不再只是单单针对漏洞的简单评估，而是针对信息系统的实际情况的整体性评估。

1风险评估概述

在网络安全领域，风险评估特指信息安全风险评估，其参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。随着网络安全行业的发展，以及相关评估标准的颁布，风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息安全风险评估规范》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的网络安全风险评估综合方法及操作模型^[1]。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估 过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性^[2]。其实施过程包含：风险评估准备、资产识别、威胁识别、脆弱性识别、已有安全措施确认、风险分析、风险评估文档记录。

2渗透测试评估方法

渗透测试是一种模拟黑客对信息系统进行模拟攻击的一种测试方法^[3]。通过渗透测试的方法，发现信息系统中存在的安全风险或漏洞。按照当前主流的PTES渗透测试执行标准，其过程包括前期交互、情报搜集、威胁建模、漏洞分析、漏洞攻击、后渗透、报告输出等7个阶段^[4]。其测试的方法包括技术上的漏洞利用、隧道技术、木马病毒技术等，针对管理上的测试方法主要以社会工程学为主。从渗透测试的整个生命周期中，评判信息系统风险问题主要依靠其发现的漏洞等级作为评估依据。而针对信息系统整体上的安全风险评估缺乏评估的标准^[5]。如对某个信息系统进行渗透测试仅发现一个SQL注入的高危漏洞，但因该漏洞的利用仅仅对应用程序造成轻微风险，且攻击者无法通过SQL注入进行后续攻击；同时由于已经做了严格的访问控制措施，攻击者也无法利用SQL注入获取到敏感信息。此时，该高危漏洞造成的风险对整个信息系统而言，其危害程度是相对较小的。除此之外，当前业内主流的渗透测试针对的信息系统是无需进行资产识别划分的。即当渗透测试结束后，无需对资产等级划分进行评估。如针对某一信息系统进行渗透测试中，其在边缘主机中发现了严重的命令执行高危漏洞。但由于该主机在信息系统中的资产等级相对较低，针对该主机的攻击，对其他资产不造成影响。在渗透测试的结论中，往往会忽视该主机的重要程度，仍然以高风险进行判定。对于信息系统的整体性而言，这显示是不合理的结论。按照风险评估的标准实施流程，渗透测试仅具有风险评估准备、威胁识别、脆弱性识别、风险分析、风险评估文档记录等步骤。因此，渗透测试仅仅针对漏洞等级的评估方法，无法对整个信息系统进行有效的、正确的风险评估。

3风险评估在渗透测试中的应用

基于渗透测试的评估方法存在一定的缺陷和不足，在渗透测试中引入风险评估方法就显得尤为重要。在渗透测试中，前期交互就是风险评估中的准备阶段。在这一阶段中，渗透测试的前期交互基本涵盖了风险评估中的确定目标、确定范围、组建团队、系统调研、确定依据、制定方案、获得支持等内容^[6]。威胁识别、脆弱性识别、风险分析等风险评估方法在渗透测试中主要集中体现在威胁建模、漏洞分析、漏洞攻击等环节。但其中风险分析除了发现漏洞和分析漏洞以外，还应结合风险评估方法中的资产识别进行分析。如上文中提到的边缘资产问题，应在前期调研中进行资产识别，了解资产的作用和重要性，同时还需结合已有安全措施确认来进行综合分析。根据这一分析方法，针对已有访问控制的边缘主机的高风险漏洞，在整体风险评估中，就可以适当降低其危险等级。因此，根据风险评估的方法，结合渗透测试中发现的漏洞，就可以根据其资产的重要性、漏洞利用的难度、漏洞利用造成的结果等维度^[7]，采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性^[8]；综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，最终评估其安全风险^[9]。除渗透测试中针对信息系统单个资产漏洞等级的评估方法外，还可根据其风险评估的结果对信息系统进行“很低、低、中等、高、很高”的风险等级结论。

4结语

风险评估的方法可以有效弥补渗透测试评估方法的不足。以风险评估的方法来进行渗透测试，可以对信息系统从全局上进行科学的评估。通过引入风险评估的方法，渗透测试结果将不仅仅只是以漏洞为导向。结合漏洞挖掘、漏洞利用、社会工程学等渗透测试手段，可以从技术与管理两个维度对信息系统进行更全面的、整体性的评估。这也是渗透测试的评估方法更具有准确性的同时，还能帮助业主更有效地对风险进行管理^[10]。

参考文献

[1]  邹涛. 云计算环境下信息安全风险评估方法研究[D]. 南昌大学, 2018.

[2]  中国国家标准化管理委员会. GB/T 20984—2007 信息安全技术 信息安全风险评估规范[S]. 2007.

[3]  严浩, 石西华. 渗透测试在网络安全等保测评中的运用[J]. 电子技术与软件工程, 2021(24): 240-241.

[4]  _网络安全渗透测试研究[J].

[5]  陈路. 熵权法在信息安全风险评估中的应用[J]. 信息系统工程, 2021(09): 62-64.

[6]  王雪莉, 陈刚. 云计算环境下信息安全风险评估流程探究[J]. 网络安全技术与应用, 2020(11): 93-94.

[7]  芦杉. FAHP和物元模型在网络信息安全风险评估中的应用[J]. 电子世界, 2021(11): 176-177.

[8]  孔姝睿, 赵艳. 基于Web的网络信息安全风险评估模型研究[J]. 信息与电脑(理论版), 2020,32(09): 200-202.

[9]  甘清云. 《信息安全风险评估规范》修订思考[J]. 网络安全技术与应用, 2018(12): 11-25.

[10] 王萍. 中小型企业信息安全风险评估平台研究与实现[D]. 北京邮电大学, 2020.

原文始发于微信公众号（Matrix1024）：浅谈风险评估在渗透测试中的应用