第六章、渗透测试中的智慧与愚昧

有句格言说得好：安全系统必须万无一失才算安全，而黑客只需别人失误一次，他便成功。

——Dustin Dykes

监狱官员会请来专家为自己监管的监狱研究安全措施，以检査监狱里是否存在犯人可逃跑的漏洞。同样，公司也会有类似的举动，他们请来安全公司测试自己的网站和计算机网络的严密性：看这些被请来的黑客是否能找到访问机密信息的渠道，进入办公领地的禁区，或找出公司安全系统中能制造风险的漏洞。

对于安全领域的人而言，这就是‘渗透测试’。专门从事这个行当的安全公司的职员过去大部分都是黑客分子（奇怪啊，真是奇怪！）。事实上，通常这些公司的创立者自己本身就是资历丰富的黑客，并且手中握有绝密武器，他们希望自己的客户永远都发现不了那些秘密武器。安全行业人员来自黑客群体是有道理的，因为一名合格的黑客通常具有这种素养，能发现那些常见的和非常见的‘偏门’，这些通往内部重地的偏门通常都是公司在无意中打开的。这些‘前黑客’分子大多在小的时候就已经明白‘安全’这个词在很多情况下会被误用。

任何请来专家做‘渗透测试’的公司都期望测试结果能告诉他们，公司的安全系统没有破绽、无懈可击，然而通常抱有这种想法的公司最后都会从美梦中惊醒。进行安全测试的人通常发现这些公司存在的都是相同的问题——公司没有做足够的工作，来保护自己的信息和计算机系统。

商业和政府机构进行安全测试的原因，是想在某种程度上及时地确认他们的安全状况。再者，在修补了查出的漏洞后，他们能确定自己取得的成效。渗透测试类似于EKG（心电图）检査。测试后的第二天黑客就可能入侵进来，哪怕公司或机构通过安全检查后对自己信心百倍。

所以，如果公司进行渗透测试并期待结果能证实他们在保护其机密信息方面做了一流的工作，这种想法是愚蠢的。结果很可能证明恰恰相反，就像下面的故事所讲的那样——一个是一家咨询公司，另一个是一家生物技术公司。