第4個秘訣:根據(jù)風險高低,進行測試。

  進行哪種類型的測試,應取決于數(shù)據(jù)/應用程序的價值。對于低風險資產(chǎn),定期的漏洞掃描無異于經(jīng)濟高效地利用資源。中等風險的資產(chǎn)可能需要結合漏洞掃描和手動的漏洞檢查。至于高風險資產(chǎn),應進行滲透測試,尋找可利用的漏洞。

  比如說,一所大型大學的安全主管說,他們已開始進行滲透測試,以滿足PCI DSS的要求。一旦這項計劃落實到位,成了用于測試潛在攻擊者潛入大學系統(tǒng)的能力的典范。該大學將數(shù)據(jù)分為公共數(shù)據(jù)、內部數(shù)據(jù)、敏感數(shù)據(jù)和高度敏感數(shù)據(jù)這幾類。

  他說:“對于高度敏感的信息,我們進行了滲透測試,遵守幾乎與PCI一樣的準則。我們在此基礎上深入了一步,根據(jù)一些具體的標準和一些主觀判斷,看看要對系統(tǒng)進行哪種級別的滲透測試??如果需要滲透測試的話!

  比如說,對于風險比較低的信息,該大學將測試隨機抽選的系統(tǒng)及/或應用程序,具體要看時間和預算的緊張程度。由于校園網(wǎng)絡上有幾千個設備,即便對它們都進行低級掃描也是行不通的。

  這名安全主管說:“你可以測試有明確所有者和系統(tǒng)管理員的業(yè)務系統(tǒng)。但是如果你有3000臺Wii連接到網(wǎng)絡上,你不應該掃描那些設備、弄清楚它們分別屬于誰!

  第5個秘訣:了解攻擊者的概況。

  你的滲透測試人員在想法和行為上都要與真正的攻擊者無異。但攻擊者不屬于好人這一類。要了解潛在攻擊者的概況。

  外部攻擊者對貴公司可能所知甚少,可能知道一些IP地址。但他們可能是前任員工,或者效力于貴公司的合作伙伴或服務提供商,所以對你網(wǎng)絡的內部情況相當了解。內部攻擊者可能是擁有訪問和授權特權的系統(tǒng)管理員或數(shù)據(jù)庫管理員,知道關鍵數(shù)據(jù)在什么地方。

  了解攻擊者概況時要考慮的一個因素是動機。攻擊者覬覦的是可以變成現(xiàn)金的信用卡號碼和個人身份信息?還是可以賣給競爭對手或獲得商業(yè)優(yōu)勢的知識產(chǎn)權?攻擊者想破壞你的Web應用程序,可能出于政治目的或競爭目的。他可能是怒氣沖沖的前任員工,想“對貴公司進行報復”。

  應該與業(yè)務負責人合作,幫助了解這些概況,打探哪些類型的潛在攻擊者是他們感到擔心的。

  概況可以縮小滲透測試的關注范圍;測試內容會不一樣,具體取決于每一種攻擊者概況。

  Core Security公司的Solino說:“我們基本了解了某個攻擊者會對目標搞什么破壞,對此我們分得很清楚。針對每一種概況,我們獲得滲透測試的結果,然后再了解另一種概況!

  第6個秘訣:掌握的信息越多越好。

  無論是實際攻擊,還是滲透測試,收集信息都是整個過程的一個部分,旨在查找諸設備、操作系統(tǒng)、應用程序和數(shù)據(jù)庫等。你對某個目標及與它連接的系統(tǒng)了解越多,潛入進去的可能性越大。

  每一步都可能會得到有價值的信息,以便你攻擊另一個資產(chǎn),直到終進入你瞄準的數(shù)據(jù)庫和文件共享區(qū)等目標。獲得的信息讓你可以縮小搜索可利用漏洞的范圍。通?梢允褂米詣踊膾呙韬屠L圖工具,來進行這種偵察;但你也可以使用社會工程學方法,比如在電話一頭冒充技術支持人員或承包商,收集有價值的信息。

  Verizon公司的Khawaja說:“我們越來越多地開始采用社會工程學方法。這實際上是一種偵察手段(在客戶許可的情況下進行),讓我們得以在環(huán)境中找到可以幫助我們潛入進去的每個薄弱環(huán)節(jié)。”

  多階段的滲透測試通常是重復進行偵察、評估漏洞和利用漏洞,每一步都為你提供更深入地滲透到網(wǎng)絡的信息。