如何评估一个渗透团队的技术能力

发布时间：2012-07-06 09:31:10作者：知识屋

Jack zhai

正确评估渗透服务团队的能力，是选择渗透服务团队合作的基础，是获取渗透服务效果的最佳保障。有两种方法是常用的：

1、选择案例多的：做过的肯定有经验，人们也习惯于用事实说话，何况作为案例的都是结果都不错的。当然，这种“马太效应”并非总有效。因为业务繁重而疏于管理，服务质量就会下降；因为项目众多，无暇在技术上进一步研究，逐渐落后于后起之秀；更重要的是：渗透是逆向思维的漏洞攻击技术，突破传统的思维框架，才更有价值，所以，没有经验的新人，并非不能创造新的渗透奇迹。

2、考而优择仕：“是骡子是马拉出来溜溜”，人们还是喜欢相信亲眼见到的。通过实验环境的渗透模拟比赛，谁赢了就选谁。这样做需要用户投入大量的精力，要有时间组织，要考题出得适度。考题容易了，结果无差异；考题难了，没有及格的；都无法判断谁的能力强，考题要出得很符合用户的实际需求，就不是很容易了。更为重要的是，很多用户根本不清楚如何组织这种渗透模拟。

有一个问题值得关注：选择适合自己安全需求的渗透团队很重要。不同用户的信息安全建设程度是不同的，若用户本身的安全防御体系很完善，选择的渗透团队很初级，基本上就是隔靴搔痒；若安全管理松懈，找来非常专业的渗透团队，那好比大炮打蚊子。

随着用户信息安全保障体系的不断完善，选择团队的渗透能力也应该逐渐增强，能力对等，才能有效发现自己的弱点，“大刀对坦克”式地表演，是在耽误双方的时间。

如何综合评价一个渗透服务团队的技术能力呢？我们借助能力成熟度模型（Capability Maturity Model：CMM）的思路，将渗透服务分为两个维度，一个维度是渗透服务的过程，是渗透各个环节的分解；另一个维度是组织保证能力，由管理和制度组成，通过项目管理与文档检验。

简单地说：就是划分出渗透服务过程中所需要的各种方面的技术领域，并区分出每个领域保证最终渗透效果所应具备的管理与技术能力。

渗透服务能力成熟度：

衡量一个团队的渗透服务能力，涉及多个方面，我们从团队规模、组织能力、技术保证能力、渗透攻击能力、漏洞挖掘能力几个方面进行综合衡量，把团队渗透服务能力成熟度分为五个级别：

第一级：个人级。一般是指单个人的渗透，完全依赖渗透者的个人技术与经验，渗透的结果不确定性很强。由于没有组织，目标不明确，所以常常被防护者所轻视。

第二级：小组级。通常是临时组合在一起的小团队，共享相互的资源。个人单兵的渗透能力都很强，但缺乏相互之间的协调。制定相对明确的渗透计划，可以模拟小型有组织团体的入侵。

第三级：团队级。专业的渗透团队，分工明确，手法专业，配合默契。渗透时具有周密的计划与紧急应对策略，可以模拟专业组织的渗透攻击，可以模拟有针对性的APT攻击。

第四级：组织级。不仅有职业的渗透团队，而且为了渗透还建立了相应配套的各种组织部门，拥有自己的专业漏洞研究机构，掌握“0Day”与相应的利用工具。可以模拟大规模专业组织的渗透攻击。

第五级：集团级。掌握丰富的资源，具有足够的渗透人才，掌握最新的渗透技术与工具。

说明：

Ø技术保证能力是指渗透团队的技术组织管理能力，参考安全工程能力成熟度的五级定义，渗透能力成熟度的五级分别对应为非正式使用级、计划与跟踪级、充分定义级、量化控制级、连续改进级。详细每个级别保证能力的要求可以参考《系统安全工程能力成熟度模型SSE-CMM》。

Ø渗透攻击能力是指可以对抗的被渗透目标的自我防御能力，参考国家等级保护对应信息系统的安全等级，渗透攻击能力对应为该等级防御能力所应该防御的攻击能力。具体每个等级的具体要求与描述可以参考国家有关信息系统等级保护的有关标准。

表：团队渗透能力成熟度级别定义：

	1级(个人)	2级(小组)	3级(团队)	4级(组织)	5级(集团)
团队规模	单兵作战	小组协作	专业团队，渗透人员梯队培养、队员组合协作渗透	具有专业后台支撑团队，分工细化，具有长远团队规划	大型专业团队
组织能力	无组织	松散合作，自由分工	职业团队，责任明确	企业级，专门人员组织管理	大型集团，后备人才基地
技术保证能力	非正式使用，无正式文档管理	计划与跟踪，过程化、文档化管理	充分定义，过程标准化定义	量化控制，建立可测量的质量目标	连续改进，改进组织能力与过程标准化
渗透攻击能力	抵御资源较少的单个入侵者的入侵	抵御拥有一定资源的小型团队有计划的入侵	抵御拥有丰富资源、有组织的、有针对性的入侵(如APT)	抵御大型攻击组织的组合式入侵	无限制
漏洞挖掘能力	收集最新漏洞信息，收集漏洞利用工具	具有一定漏洞挖掘能力，掌握最新漏洞利用工具，工作中可集成、组合渗透工具	可独立研究挖掘系统漏洞的能力，具有开发利用工具的能力	具有独立的漏洞研究团队，掌握“0DAY”漏洞及其利用工具	无限制