黑客入门该知道的安全测试各种姿势( 二 ) _安全测试

随着各企业互联网应用不断增多，传统的安全渗透测试也面临着测试人手不足、产品版本更迭太快来不及测试等问题。
甲方厂商发现无论是代码安全测试、上线前渗透测试，还是上线后定期安全测试，都无法完全及时发现企业全量的安全漏洞，各类安全漏洞平台还是会出现自己的安全漏洞。
与其坐以待毙，还不如主动作为，于是乎，有些甲方厂商就开始与众测平台合作，通过协议委托众测平台发布专业测试项目，参与项目的白帽子需通过审核认证后才能报名参与众测项目，依托外部白帽子发现企业的安全漏洞。

目标系统：可以是一个或多个生产环境系统，也可以是待发布的测试环境系统。
涉及人员：业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员
风险程度：存在较高风险，一是白帽子的管理较为松散，背景调查、身份核验等难度较大。二是有些高危操作可能会给企业生产数据造成脏数据的风险；三是有些渗透测试人员发现漏洞不报告，私自下载企业业务数据。
发现问题的影响面：单个系统
乙方厂商组织形式：选择一家互联网安全众测平台作为安全众测服务商，由其组织白帽子参与项目众测，在白帽子之间形成竞争机制。与众测平台签订项目制，可以在众测平台在线公开发布众测项目，也可以依托众测平台通过线下组织众测项目。
局限性：难以发现高阶安全漏洞。

（四）企业自组织的安全众测随着众测的发展，有些比较大的甲方厂商就开始存在不同的思路了。

一是有些企业觉得与其到众测平台开众测项目收集企业安全漏洞，还不如我自己直接接收白帽子的安全漏洞
于是，各大互联网公司都开始建立各自的SRC安全应急响应中心，在其中提供专门的漏洞收集板块，供白帽子提交漏洞，为白帽子提供积分、礼品、现金等奖励。

二是有些企业觉得众测平台较难管控安全风险，普通的渗透测试缺乏竞争机制，难以发现高阶安全漏洞。
于是这些企业就开始组织厂商众测模式，选择四五家安全厂商同时开展安全测试，然后按漏洞效果付费，漏洞等级高，付费就高，等级低，付费就低。

目标系统：一个或多个生产环境系统。
涉及人员：业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员
风险程度：存在较高风险，一是SRC模式中白帽子的管理较为松散，背景调查、身份核验等难度较大。二是有些高危操作可能会给企业生产数据造成脏数据的风险；三是有些渗透测试人员发现漏洞不报告，私自下载企业业务数据。
发现问题的影响面：厂商众测可能会发现影响面较大的安全漏洞
乙方厂商组织形式：选择多家（一般为2至5家）安全渗透测试公司，分别组织专业渗透人员参与项目众测，按漏洞效果付费，在多家公司之间形成竞争机制，择优淘劣。
局限性：安全漏洞数量不可控，企业投入可能较大，乙方的服务不能持续实施，一般以项目制形式，预算花完就停止服务。

（五）红蓝攻防演练以上说的渗透测试都相当于单项打靶射击考核，一次专项性的能力测验，以发现技术漏洞的目的为主。
而红蓝攻防演练考验的是企业的整体防护水平和防护体系，如全体人员安全意识、防护系统检测发现能力、目标系统漏洞情况等，既考验了防护系统的有效性，又全面检查系统各类漏洞情况，还考验人员的安全意识。
因此，红蓝攻防演练一般是针对企业的全部信息系统、分支机构，不设具体目标、不限具体手段，全面检验企业的主动防护、安全检测、应急处置等能力，发现系统技术漏洞反而是附属性的。

在攻防演练过程中：
一，攻击者会利用社工、边边角角系统等进行迂回包抄，直到达到入侵系统的目的为止。
任何一点疏漏都可能导致整体防护体系的溃败。攻防演练考验的是企业的总体防护水平。

二，攻防演练不仅能发现技术性漏洞，还能发现企业安全管理上的漏洞、防护体系上的漏洞、防护策略上的漏洞等。
三、攻防演练的对象企业全体资产、人员、数据等，因此，任何一个人、系统都可能成为企业安全防护体系中的短板。

最后在演练总结通报中，加以总结提炼，传达到企业全员，可以达到提升全员安全意识的目的。