Vulnerability Assessment & Security Consultancy (VASC) 是一家充满灵感的年轻公司,专注于国际 IT 安全市场,提供高质量 IT 安全服务。 VASC 专业从事有效识别、减少和预防 IT 安全风险。 在大多数情况下,会慎重选择以进行 IT 安全评估。 此选择与贵组织愿意承担的风险程度密切相关。
我们致力于提供高质量的服务,以作为针对 IT 基础架构/应用程序和红队判研 (Red Teaming) 的高端渗透测试。 在进行此事业的过程中,VASC 对创新的合作伙伴关系持开放态度,以应对当前的漏洞,并在 IT 安全方面继续发挥先锋作用。
社会正在快速进行数字化。 越来越多的人和企业更频繁地进行各种在线活动,将信息存储在云端,并努力实现最高的移动性和连接性。 这为用户、合作伙伴、客户、员工和竞争对手创造了机会。 当然,也为网络犯罪分子敞开了大门,他们会巧妙地利用数字化所带来的新机会,对组织形成持续增长的威胁。 在这些打击网络恐怖的斗争中,VASC 带来了价值,尤其是对于组织中的信息安全方面。
网络攻击可造成数百万美元的损失,而且问题往往无法快速得到解决。 不过,人们可以期待大型组织以最专业的态度处理私有敏感信息。 VASC 可以通过(定期)执行技术 IT 安全测试来帮助应对此问题。
检查类型取决于许多因素。 这些因素包括检查的执行时间(如果环境已经就绪)、要测试的风险类型(以系统为攻击对象的黑客,或借助社会工程对用户进行攻击的人)以及所需的调查扩展性(有或无源代码),或对系统配置的可访问性。 在这方面,组织的明智之举是预先考虑他们需要保护哪些“最宝贵资产”。
在检查过程中,网络罪犯采用的方法构成了工作的基础;什么是组织的最宝贵资产,以及如何访问它们?
I在进行技术 IT 安全检查时,VASC 管理多种检查模块,包括黑盒、灰盒和水晶盒。 VASC 还提供代码审查/检查、渗透测试、(物理)社会工程和红队判研 (Red Teaming)。
许多 SCADA/ICS 系统在关键基础设施内用于控制和读取加工业中的数据。 通常,这些系统不是从安全角度设计的,但它们必须正常运行并具有很长的使用寿命。 SCADA/ICS 系统中的故障会对实际环境产生影响。 锁可能会意外打开,发电站可能会发生故障,或者净水厂可能突然变得不可靠。
为了保护您的 SCADA/ICS 环境免受可能的网络攻击,VASC 可进行安全调查以发现安全漏洞。 一种常用方法是红队判研 (Red Teaming),其中用到许多攻击和测试技术的混合。
技术性 IT 安全检查是一种预防性、侦查性的措施,通过它可以找到 IT 安全问题,以便在某些行为者滥用这些问题之前解决这些问题。 如何对组织进行保护在很大程度上取决于确定可能的参与者及所构想出的威胁。 这种区别至关重要,因为并非所有组织都对不同类型的网络恐怖活动具有同样的“吸引力”。
可区分下列七种类型的威胁:
VASC 会使用应用程序检查和基础架构检查。 可将应用程序检查分为 6 个级别的风险状况。 诸如多样化风险、声誉损害和用户群体规模或其何时涉及具体个人信息等因素起着重要作用。 风险状况 1 是风险最高的状况,风险状况 6 是风险最低的状况。
为了对新生成的 IT 基础架构进行安全检查,可以使用与为应用程序描述的相同风险分类。 在许多情况下,这涉及在其中同时开发新应用程序和相应 IT 基础架构的完整项目。
通常,只有在发生实际威胁之后,对预防性、侦探性和反应性措施的需求才会变得明显。 进行技术性 IT 安全检查是一种预防性、侦查性的措施,通过它可以找到 IT 安全问题,以便在某些行为者滥用这些问题之前解决这些问题。
在进行黑盒检查前,除要检查的系统(应用程序和/或基础架构)外,不给出任何信息。 VASC 在此阶段不会得到任何协助,而必须自己去发现。 这样,我们可以深入了解攻击者在没有任何先验知识且没有合法访问权限的情况下可以从互联网实现的目标。 黑盒检查通常在有限的时间内进行,此时间范围比攻击者在准备攻击时所用的时间短得多。
在灰盒检查期间,我们的顾问会获取登录信息。 他们藉此深入了解可以合法访问系统、网络或应用程序的用户可能利用的漏洞。 在黑盒方法期间执行的所有检查操作也将在灰盒方法期间执行。 例如,这可以揭示是否可以绕行非授权用户的登录。
水晶盒检查可以全面了解要检查的系统的功能。 例如,给出对服务器的管理员访问权限,并提供应用程序的源代码。 将由架构师、开发人员和管理员回答有关计划的问题。 这允许评估环境的一些部分(在其他情况下将无法访问这些部分)。
社会工程检查不是直接针对技术,而是针对链中最薄弱的环节:人类。 在攻击期间,黑客将尝试访问机密信息。
我们区分了以下 4 种不同类型的社会工程攻击/检查:
可以实施网络钓鱼攻击,以允许大批人群接触测试(以后可以在提高认知活动期间对此进行使用)。 在与组织或机构协商的情况下发明一种场景,用户将接收包含链接和/或附件的电子邮件。 关于点击链接的人数以及有多少人还在相应网站上提供了凭据,可以生成单独的报告。
在这种社会工程形式中,通过电话与部门或特定个人联系。 其目的是说服这些人通过电话分享敏感信息(如用户名和密码),我们也将尝试获得某些“最宝贵资产”。
感染内部 PC 的过程有多简单? 为了找到答案,USB 设备散布在各处,其中包含一个试图感染 PC 的电子部件。 USB 闪存盘将留在各个位置,或作为小工具发送给个人。 USB 闪存盘和小工具以特定方式准备,使得当它们用于笔记本电脑或 PC 时,将执行代码。 通常,只会设置连接,而不是实际感染的 PC,这会涉及更多工作和引入额外风险。 在这两种情况下,都会揭示漏洞。
在某处获取访问权限的过程有多容易? 通过社会工程,可检查我们是否能够进入到组织或访问未向公众开放的地方,如计算机中心、手术室和研究实验室。
物理社会工程包括在实际访问含机密信息的区域时需执行的任何操作。 这可能涉及尾随(与其他人一起过安检)和临时假设另一个身份。 VASC 在此方面具有独一无二的优势,可以提高技术和物理 IT 安全性,从而可以提供广泛的 IT 安全性。
在代码审查/检查期间,基于对已经可用的源代码的检查,对正在运行的应用程序/代码进行评估。 这不包括完整的代码审查,而只会检查代码的一些(重要)部分。
在全面审查代码的过程中,手动检查(极)大部分代码,并在自动工具的帮助下审查其他部分。
黑/灰/水晶盒检查主要是为了找到尽可能多的漏洞并报告这些漏洞。 在渗透测试期间,采用的思路是在有限时间内找到一个或多个漏洞,并通过尽可能深入地渗透到网络/应用程序来实际利用这些漏洞。
红队判研 (Red Teaming) 检查不针对特定应用程序或(部分)基础架构。 该检查以组织的最宝贵资产为目标。 通过利用阻力最小的路径,并基于想要利用组织的某些最宝贵资产的潜在行为者的想法和工作方法,集中精力获取最重要的公司信息。
红队判研 (Red Teaming) 检查由技术(主要是黑盒)和社会工程检查的组合组成。
将事先与客户协商以制定要遵循的方案。 最终,客户决定其想要进行此检查的意愿程度。 此类检查提供组织的真实脆弱性状况,还可以检验事件响应和取证准备情况。
在检查任务开始时,对象的大小、复杂性和脆弱性必须变得清晰。 这与所使用的检查方法一起决定了应在检查过程中花费的时间量。 因此,在进行 IT 安全检查前,必须确定正确的范围。 为了确定在检查应用程序或 IT 基础架构时的范围,在进入咨询期间将建立一些关键问题并将这些问题用作起点。
IT 安全检查过程的费用由 2 部分组成: 检查过程的(日/小时)费率和预算时间。 估计将包含对基于标准框架的方法的说明,和/或针对要进行的检查的最佳做法的说明。 还将清楚地指出可期待 VASC 去做的事情,以及必须存在哪些先决条件才能进行适当检查。
在确定范围并分配任务后,应计划 IT 安全检查。 是否存在关于计划的特殊要求? 例如,我们是否应考虑上线日期? 或者组织是否必须处理审核的检查部分? 建议尽可能早地解决这些问题。
在计划时,还需要考虑所需的时间段(如有必要),以消除所发现的风险并随后进行复查。 根据所需的计划和预先确定的范围,我们可以确定最适合由哪个专家团队实施。 根据其可用性,我们将一起制定明确的时间表。
针对 IT 服务提供的惯常合同和一般条件可作为带有一般条件 (GC) 的合同的基础。 在起草用于进行 IT 安全检查的合同时,我们将考虑以下具体相关点:
完成 IT 安全检查后,VASC 将提供有关检查结果的全面报告。 该报告将包含以下信息:
在提供 VASC 报告后,必须仔细检查结果。 可以在其中规定后续措施。 IT 安全检查和报告的最佳结果是没有发现任何问题。 在实践中,情况往往相反。 对于发现的每个问题,都必须确定对组织的影响是什么以及解决问题的成本是什么。
对于具有高风险水平的问题,选项通常非常明确;但是,对于中等风险水平的问题,特别是对于低风险水平的问题,组织需要做出谨慎的决定。 这些决定可能包括实施程序变更,但也可能涉及(例如)指派开发人员和/或网络专家实施此类变更,以将问题的风险和/或影响降低(最理想状态是降低到零),或者降低到组织可接受的水平。
在进行检查并解决所发现的问题后,建议进行复查,以确定是否已正确完成任务。 根据为解决所发现的问题而进行的调整数量,VASC 可以执行部分检查操作。 但也可能需要进行全面的新检查操作,以确定所采取的措施是否未引起任何新的漏洞。 建议在执行原始检查几个月后,进行全面的复查。 这提高了解决所有已发现问题、进行其他调整以及添加或移除功能的可能性。
一旦决定进行复查,我们将提供与复查相关的已发现问题的详细信息。
我们建议在结构层面上进行 IT 安全测试。 在实践中,这些测试通常可能是临时或仅周期性进行的(具有低频率和有限范围)。
通过制定明确的 IT 安全测试策略,可以让同事更好地掌握应该何时以何种频率和方法测试特定应用程序和 IT 基础架构。 除这些定期测试外,还应考虑测试新的 IT 项目。
