这家公司模拟攻击受害者 以寻找安全风险
作者: 日期:2016年02月02日 阅:3,949

攻击者使用多种工具和技术入侵某机构。一家名为SafeBreach的安全公司尝试使用自动化技术确定安全风险。

640.webp

要想了解企业是否存在安全风险,一个可行的方法是尝试入侵它。这正是SafeBreach的目标, 该公司近日刚刚发布了其多功能安全平台。

SafeBreach公司CEO兼联合创始人盖伊·本杰拉诺(Guy Bejerano)对媒体表示:SafeBreach的重大意义在于,让机构认识到不需要只是坐等入侵事件发生。

本杰拉诺将SafeBreach平台上运行的程序称为“黑客剧本”。它是关于黑客的进攻性知识。

黑客剧本包括各种技术和行动。比如:试图窃取信用卡数据、激活恶意软件、暴力破解密码。SafeBreach平台将黑客的常用技术自动化,试图入侵机构并帮助防御者识别潜在的风险。

测试机构防御的完备程度通常与渗透测试的安全信条有所关联。在传统的渗透测试中,安全研究人员会尝试获取机构或应用的访问权限,因此在系统作出反应之前只能等待。伊兹克·考特勒(Itzik Kotler)是 SafeBreach 的 CTO 和联合创始人,他强调称,该公司的平台并不只是传统意义上的渗透测试;它可以同时模拟客户端和服务器端。

我们在模拟中所做的事情是,立即触发这种反应。比如,使用暴力破解密码,SafeBreach 模拟系统知道黑客在攻击成功之前需要尝试的次数,或者攻击是否会失败。该产品的目标在于快速确定机构面临的风险。

使用典型的渗透测试,用户习惯通常会成为导致漏洞利用的薄弱点。

比如,使用钓鱼攻击,黑客的目标是强迫受害者点击定向到恶意网站或攻击载荷的恶意链接。考特勒表示,没有等待用户反应的必要。相反,SafeBreach 提供的方法并不去注意用户行为,等着看如果钓鱼邮件被点击会发生什么,或者恶意链接或网站是否真的能够感染目标用户或系统。

“不需要等待用户真的点开链接或打开恶意软件。不论如何,最后都会有人打开邮件并点开链接,因此我们将这个作为前提,然后直接看看接下来会发生什么。”

尽管机构鼓励用户不点开存在钓鱼嫌疑的邮件,它们仍旧配备了企业控制系统,可以保护用户免受恶意软件利用的侵害。确认系统切实可用的唯一方法就是进行测试。

此外,SafeBreach 并不使用真正的、会对机构产生危害的恶意软件,渗透测试则与此相反。渗透测试人员会针对企业的生产环境进行实地测试。而 SafeBreach 会在模拟恶意软件行为的同时模拟出客户和安全控制器的情况。因此,该系统并不会产生渗透测试那样的风险。

如今的黑客经常使用漏洞包,这是包含一系列目标可能未打补丁的软件漏洞集合。通过同时模拟可能会点击漏洞包链接的用户,以及漏洞包幕后服务器的行为,SafeBreach 能够测试漏洞包对机构的影响。

在模拟过程中,我们能够观察是否有安全控制被触发。不管它是入侵防护系统、数据损失保护系统还是防火墙。如果安全控制没有被触发,我们就能够确定有风险存在。

SafeBreach 提供了关于风险大小的评级表。通过点击特定的风险,系统将解释 SafeBreach 是如何利用 IT 基础设施的某一部分。

“由于我们观察的是攻击者的整个攻击链条,包括侦查到数据窃取,对安全人员而言,打补丁的工作将更加容易。”

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章