在信息安全领域,早期大多数客户购买安全服务的动机是应对当前的安全事件或者减轻来自内外的舆论压力,导致服务内容和现实需求之间存在较大差异。
目前,对于信息安全服务比较重视的是政府、电信、银行、军队等领域。自2017年6月1日实施《中华人民共和国网络安全法》以来,证券、交通、教育、制造业等行业对信息安全服务的需求也日趋加强,为信息安全市场注入了新的活力。随着信息安全立法的完善和信息安全意识的强化,人们对信息安全产品的需求也逐渐提升,这为我国的信息安全产业持续发展奠定了巨大的市场基础。最近几年,我国信息安全产业快速发展,市场规模持续增长。2016年,我国信息安全产业规模为340亿元,较2015年增长22%,远高于8.2%的全球平均增长水平,总体保持快速增长趋势。网络安全企业创新活跃,态势感知、监测预警、云安全服务等新技术、新服务不断涌现,以产品为主导的产业格局正向“产品和服务并重”的方向转变,网络安全企业的实力有了较大提高,超过30家企业年度营收过亿,出现了一批具有产业整合能力的龙头企业。2016年,成都、武汉、上海等地都在加大网络安全产业布局,积极打造国家网络安全产业高地,网络安全产业集群效应初步显现。
智研咨询发布的研究报告中指出,信息安全行业已达几百亿规模,并随着政府的支持而持续增长。业内还普遍预测,随着网络安全法等一批重要政策的出台,网络安全产业将在“十三五”期间迎来黄金发展期,市场规模将达千亿元级别,发展速度远远超过其他传统工业。现阶段信息安全服务可以分为:安全咨询、等级评测、风险评估、安全审计、运维管理、安全培训等方向,而渗透测试在整个安全服务中又占据了较大的比重。
渗透测试基本上可以分为 白盒测试 和 黑盒测试 。黑盒测试是指在对客户组织的产品一无所知的情况下模拟真实的入侵手段,对用户所需测试的产品进行渗透测试。白盒测试是指在拥有客户组织所有的资产信息的情况下进行渗透测试。
黑盒测试的渗透测试团队将会从一个远程网络或外部网络对目标的基本网络设备进行访问,在此之前,渗透测试团队对于目标的网络拓扑及其架构一无所知。渗透测试团队将会完全模拟真实的外部入侵者,探索并发现目标网络中的已知或未知的安全性漏洞,并对发现的漏洞进行利用,评估漏洞对业务和网络权限造成的危害及损失。
黑盒测试还可以对目标内部的安全团队的检测和应急响应能力做出评估。当渗透测试完成后,黑盒测试团队会对发现的系统安全漏洞、安全风险以及利用漏洞对业务可能造成的影响范围等方面进行总结并编写完整的渗透测试报告。
黑盒测试相对白盒测试更加费时费力,并且要求渗透测试人员所具备的技术能力更加突出。在安全行业中,相较白盒测试,黑盒测试是更受推崇的,因为黑盒测试更真实地模拟了一次入侵过程,发现系统存在的漏洞,为系统安全防御指明目标。
白盒测试的渗透测试团队更加了解目标环境的所有内部与底层架构及代码。因此相比黑盒测试,白盒测试能以更小的代价发现和验证系统中最严重的安全漏洞。如果实施得当,白盒测试会比黑盒测试发现更多的安全漏洞和弱点,从而为客户带来更大的价值。
白盒测试与黑盒测试实施的流程类似,区别在于白盒测试无须对目标资产进行定位和信息搜集。除此之外,白盒测试能够方便地穿插在常规开发和部署计划周期内,能较早地发现并消除一些可能存在的安全隐患,从而避免被入侵者发现漏洞和利用。
白盒测试中发现和解决安全缺陷的时间较黑盒测试要减少很多,但是白盒测试无法像黑盒测试那样评估客户内部安全团队的检测能力及应急响应能力,即无法判断客户的安全防护能力以及对特定攻击的监测效率。