滲透測試的解釋:

  安全診斷主要有三種類型:滲透測試、審計(jì)和評估(被不同地描述為評估和風(fēng)險(xiǎn)評估)。單獨(dú)使用任何一種測試都不可以很好的進(jìn)行。在測量系統(tǒng)安全的時(shí)候,必須要在合適的時(shí)間執(zhí)行合適的測試。還有一點(diǎn)非常重要,是所選擇的測試要基于企業(yè)的需要,而不是測試者(不管他們是內(nèi)部員工還是外來的咨詢?nèi)藛T)的技術(shù)(或者因?yàn)閷夹g(shù)的缺乏)。

  滲透測試:

  滲透測試的名聲響,因?yàn)槊總(gè)人都聽說過,而且“知道”滲透測試是專家用于確保系統(tǒng)安全的。滲透測試目前很有吸引了,但是卻是在大部分情況下使用少得系統(tǒng)診斷方法。

  先說重要的事情:正確執(zhí)行的滲透測試是秘密的測試,其中由咨詢?nèi)藛T或者內(nèi)部人員扮演惡意攻擊者,攻擊系統(tǒng)的安全性。因?yàn)榻K目的是滲透,這種測試不會(huì)發(fā)出警告,完全保密(當(dāng)然,上層管理人員同意進(jìn)行測試并且理解秘密的要求)。理想的是,應(yīng)該沒有來自企業(yè)的支持……或者,大限度的是指出哪些是滲透測試團(tuán)隊(duì)?wèi)?yīng)該避免的。很顯然,如果企業(yè)外包了滲透測試,客戶應(yīng)該讓咨詢者知道具體的目的是什么。測試可以設(shè)計(jì)為模仿內(nèi)部或者外部的攻擊。它可以技術(shù)性的,也可以是非技術(shù)性的(例如,測試者可以使用社交工程師的方式進(jìn)入網(wǎng)絡(luò))。在目標(biāo)企業(yè)中,只能有一部分人知道測試。測試的關(guān)鍵的一方面是看企業(yè)是否能檢測到滲透企圖。處于這個(gè)原因,批準(zhǔn)正式回應(yīng)的人應(yīng)該也被包括進(jìn)去。

  現(xiàn)在,為什么滲透測試不如它說明的那么有用?因?yàn)樗哪繕?biāo)是攻擊安全。為了這么做,這個(gè)團(tuán)隊(duì)要鑒別可能的漏洞,重點(diǎn)是那些他們認(rèn)為會(huì)產(chǎn)生結(jié)果,而不太可能被檢測到的(從黑客的角度)。在這一點(diǎn)上,客戶可以看到對這些漏洞的攻擊可以產(chǎn)生什么樣的破壞。但是,在運(yùn)行測試的時(shí)候,測試員不會(huì)發(fā)現(xiàn)所有的漏洞,甚至不能確定測試可能檢測到的所有漏洞的存在。滲透測試所能夠證明的是系統(tǒng)可以被攻擊。它不能對每一個(gè)漏洞進(jìn)行記錄,只能是那些在測試中被利用的漏洞。所以,雖軟滲透測試可以推斷出其他問題,但是任何滲透測試員都不能說已經(jīng)鑒別到了客戶的所有安全問題??或者甚至是大部分。

  那么,滲透測試有什么作用呢?處于各種內(nèi)部原因,有些企業(yè)需要有說服力的論據(jù)說明不充分的安全可能導(dǎo)致重大損失。執(zhí)行情況良好的滲透測試當(dāng)然可以證明。為了從業(yè)務(wù)的角度使?jié)B透測試起作用,企業(yè)價(jià)值可能的損失必須要強(qiáng)有力的并生動(dòng)的證明出來,要超出企業(yè)的電腦被攻擊的事實(shí)。

  有時(shí),應(yīng)該進(jìn)行秘密滲透測試,看看安全策略是否被遵守了。雖然公開的測試也可以調(diào)查人們是否遵守了策略,但是在不知道被監(jiān)視的時(shí)候人們會(huì)有不同的表現(xiàn),這是人類的天性。例如,XYZ公司的安全策略禁止終端用戶在電話中泄露密碼,除非他們自己主動(dòng)打電話到服務(wù)臺。很明顯,如果外部的咨詢?nèi)藛T走到終端用戶那里,并問:“你有沒有把你的密碼告訴過你不認(rèn)識的人?”答案通常是沒有。但是如果測試人員打電話給用戶,情況不同了,假扮成IT部門的同事,并向用戶詢問他或她的密碼,這樣測試人員可以“確認(rèn)”了。這樣的社會(huì)工程滲透技術(shù)是確定是否遵守安全策略的更可靠的方法。

  標(biāo)準(zhǔn)滲透測試的道德黑客技術(shù)

  問:我近為我們公司的合作伙伴作了一次滲透測試,發(fā)現(xiàn)管理層沒有獲得合作伙伴執(zhí)行測試的書面許可。合作伙伴報(bào)告說他們被黑了,現(xiàn)在公司被卷入了訴訟!從現(xiàn)在開始我要確保我手里有書面許可,但是我要怎么做才能挽救我作為一名道德黑客的名譽(yù)呢?

  答:沒有什么能比得上把自己卷入訴訟中。好像你和你的公司都得到了很有價(jià)值的教訓(xùn),知道在進(jìn)行評估前首先要有合適的書面許可。你需要先做幾件事情:一是和公司的管理層和律師談?wù),看看他們需要從你這里去的什么文件。這可能包括的文檔有你被要求作什么事兒的,你做了什么測試,以及什么時(shí)候。要盡可能的合作,并快速建立一種觀念,是你是把公司利益放在第一位的員工。

  下一步,為將來的滲透測試創(chuàng)建可以遵守的程序。這應(yīng)該要求有管理層的一些文件要求以及各方面的同意這么做的許可類型的通知。在測試后,還應(yīng)該包括測試進(jìn)行的時(shí)間和內(nèi)容的文檔。

  如果你的公司可以很好地處理這種情況,管理層會(huì)在這個(gè)過程中支持你。如果清楚了公司知道需要有許可并選擇了忽略它,你還有一個(gè)選擇,很不幸,是你要辭職。有時(shí),保護(hù)自己名譽(yù)的好方法是完全和公司分開,并找一家尊重道德的新公司。這是很激烈的措施,但是后對你有利。任何稱職的雇主都不會(huì)這么對待你。

  保證企業(yè)網(wǎng)絡(luò)安全必需滲透測試嗎?

  問:在企業(yè)網(wǎng)絡(luò)安全策略中,滲透測試的重要性有多大?

  答:滲透測試可以提供安全防御的有價(jià)值的信息,但是成本很高。為了滲透測試的可信性,通常必須要有獨(dú)立的外部公司進(jìn)行。如果使用內(nèi)部人員和測試揭開漏洞,你可能會(huì)聽到這樣的批評,測試人員一定在攻擊中利用了他們的內(nèi)部信息和架構(gòu)的指示來擴(kuò)大安全預(yù)算。另一方面,如果測試表明狀況良好,你可能會(huì)受到測試不夠徹底的批評。如果有的話,這一定是第二十二條軍規(guī)。

  由于滲透測試的高成本,我通常推薦成熟的安全項(xiàng)目才能考慮使用。如果你正在構(gòu)建安全架構(gòu),缺少幾個(gè)主要的部分,那么首先把預(yù)算花在這里吧。否則,滲透測試只能揭示已經(jīng)知道的漏洞。另一方面,如果采用了滲透測試來評估全面執(zhí)行的架構(gòu),你可能會(huì)獲得潛在漏洞有價(jià)值的信息。

  威脅建模對企業(yè)有幫助嗎?

  問:威脅建模是有用的防御機(jī)制嗎?真的可以和黑客一樣思考嗎?

  答:目前,威脅建模對安全專家來說是一種難以置信的有用的工具。進(jìn)行威脅建模的訓(xùn)練,可以遵循一下的步驟。

  首先,廣泛考慮企業(yè)中有價(jià)值的信息資產(chǎn)、重要的計(jì)算機(jī)資源以及他們的位置。

  下一步,討論一下細(xì)節(jié),誰可能攻擊你的企業(yè),為什么。這些是威脅。網(wǎng)絡(luò)罪犯會(huì)攻擊你嗎?單一民族會(huì)嗎?內(nèi)部威脅呢?不要忘了考慮安裝在環(huán)境內(nèi)部的飄忽不定的蠕蟲。目前的威脅不是全部都是人為的。

  第三,基于你的威脅清單,開始考慮他們?nèi)绾喂裟。簡單的方法是什么?取得詳?xì)的信息,不要馬上列出你的同事也可以想到的各種怪異的想法。當(dāng)威脅和漏洞重疊的時(shí)候,風(fēng)險(xiǎn)出現(xiàn)了。

  后,考慮你已經(jīng)采取的應(yīng)對這些風(fēng)險(xiǎn)的對策。你的防御可以阻止你闡明的情景中的攻擊嗎如果不能,你可以在低程度上快速刪除不當(dāng)之處并立即作出回應(yīng)嗎?

  當(dāng)然,你不能使用惡意人士和惡意軟件攻擊你的所有方法。攻擊者都是創(chuàng)造性的,并在不斷革新。還有一句老生常談:你不能總是和攻擊者想到的一樣,但是你可以有時(shí)和他們想的存在某些相同之處。因此,確保你少可以防御你的團(tuán)隊(duì)考慮到的常見和破壞大的攻擊。不采用這些基本的威脅建模,你可能會(huì)受到可預(yù)測的、很明顯的攻擊,而這些攻擊原本應(yīng)該可以防御的。

  OWASP(Open Web Application Security Project)的團(tuán)隊(duì)已經(jīng)總結(jié)了各種威脅建模方法大綱,這是從微軟自己的程序中獲得的靈感。這份摘要描述了確定去也大威脅和相關(guān)風(fēng)險(xiǎn)的不同方法。很多公司也正在開發(fā)自動(dòng)威脅建模軟件,包括Skybox Security。