最近人们陷入了关于渗透测试功能的激烈讨论，由Fortify共同创始人和首席科学家Brian Chess的预言引发，他表示，渗透测试这种做法将会在2009年灭亡。而Orbitz公司CISO Ed Bellis表示，渗透测试在其数据丢失防护“兵工厂”中是个很有价值的工具。但是它不能帮助他找到每一样东西。

　　许多IT安全从业人员开始使用渗透测试来进行防御，称这是发现企业内外部人员数据违规企图的不可缺少的工具。

　　抛开许多安全厂商的观点，有的人几乎总是看到中间地方的事实。这也是Orbitz首席信息安全官Ed Bellis的经历。在上周讨论数据丢失防护的CSO执行研讨会上，Bellis将渗透测试描述为他在Orbitz的网络管线中保护敏感客户数据的重要工具之一。

　　“很多东西都是有利也有弊的，渗透测试也不例外。”Bellis表示，这表明Fortify等厂商在研发自己的产品的同时也将全面思考技术的未来。

　　渗透测试确实帮助了Orbitz的庞大网络检测弱点，其中就包括数以千计的主机和大量的内部应用设备（例如代理台式机，处理交易的本土软件和后端安全控制）的全球数据中心。他说：“我们面对的应用程序队伍变得越来越无限庞大，因此，你需要各种各样的安全工具来对它们进行保护。”

　　Bellis概述了渗透测试中三个具有价值的特定领域和两个不擅长的领域：

　　职能：社会工程探测器

　　社会工程始终是通往公司敏感数据的要道，Bellis发现，薄弱环节往往是那些看起来没有危险的内部人员。

　　“渗透测试将帮助你抓住那些想通过使用社交网络联络呼叫中心的人。”他说。“当尝试着帮助客户的时候，在呼叫中心工作的人们出于职业规定会过多地进行帮助，在这一过程中，他们也会引火烧身。”

　　在这种情况下，渗透测试工具可以“捕获”这样的情况：呼叫中心员工把门开得太大了。Bellis表示，随后，这些薄弱环节就可以得到解决。

　　职能：遗留应用探测器

　　就像Bellis前面提到的，Orbitz内部使用的应用的数量日趋增多。被埋没的将是那些一直存在但却不再得到使用的应用程序。但是，它们依然保留在网络中，布满漏洞，等待着被数据窃贼利用。

　　在这种情况下，渗透测试就将起到帮助作用。

　　“如果要需要找到那些存在潜在麻烦的遗留应用（那些很多年前你建立的但是不会再在任何地方有用武之地的应用），渗透测试是个很棒的方法。”Bellis说，“通过渗透测试，你会发现很多你根本不知道一直存在在你系统里的应用。”

　　那些应用中的一些很容易被有恶意企图的公司内部人员利用，例如那些刚刚被解雇的员工。在一次专门演讲中，赛门铁克公司数据丢失防护高级经理Jenny Yang提到了该公司最近与Ponemon Institute共同发起的一项研究，在研究中我们发现，59%的被调查人员对曾经通过外部渠道盗取公司敏感信息供认不讳。

　　Yang指出，在这种情况下，最常见的数据迁移做法是将数据存放于CD或移动存储棒中。然而，这样做往往涉及到访问一些遗留的应用，这些应用是通往更加敏感数据存储地方的一个门口。“为了解决这一问题，你需要找到敏感数据被储存在什么地方，知道这些数据怎样被使用，从而避免被下载。”她说。

　　Bellis表示，在完成这一任务方面，渗透测试是个有用的工具。

　　职能：逻辑漏洞探测器

　　网络中的又一个薄弱环节是逻辑漏洞（该漏洞可让某人访问数据并表面看起来并无危险）。Bellis表示，这是渗透测试有用武之地的另一个领域。“寻找一个逻辑漏洞往往需要一个人（而不是自动化的安全工具）才能完成。你常常会发现，你完全没必要让自己变成一个黑客，通过多种并非蓄意的方式利用应用程序。”

　　例如：许多如Business Wire等的网上公共关系服务把禁运令新闻（直到特定日期到来才允许公布的新闻）放在网站上一个认为不对公众开放的地方。Bellis指出，有一个案例，一个爱沙尼亚金融公司利用网站登录找到一个竞争对手的禁运令新闻。该公司利用这一弱点在内幕交易中最终获得了800万美元，Bellis说。

　　切记：你看不到任何东西

　　Bellis说，在那些渗透测试不能发挥长处的领域中，该工艺不能被用来全景地、360度地探测组织的整个安全状态。

　　“在所有弱点中，能被你找到的不会超过2%。”Bellis说，“你必须优先考虑你想要这2%包括什么，也就是说，你要根据问题的重要程度来做出决定。这是很困难的。”

　　Orbitz优先保护客户免受那些利用公司网站的人感染客户。Bellis表示，这本身就是一个艰巨的任务。

　　切记：它并不总是在运作

　　Bellis还指出，像许多安全工具一样，通常渗透测试也不会总是在工作。他说，有时候，一项测试可能不能找到严重的弱点。但是这就是为什么在更大的安全“兵工厂”中它仅能被看做是一个工具的原因。

　　“关键是要知道，你希望利用渗透测试找到什么东西，并在此基础上对它做出期望。”他说，“最后，尽管如此，没有什么安全工具本身是百分百有效的。”

　　回到Chess关于渗透测试将会走向灭亡的预言，Bellis指出，某些安全技术总是要被打上死亡的记号。例如，就像Gartner 2003年的预测，IDS已经死亡（但是入侵检测和防护系统今天仍在生存）。

　　“没有谁会完全有用，但也没有谁是完全没有价值的。”他说。