社會工程測試應該包含在滲透測試中嗎?

  問:社會工程應該是滲透測試的一部分嗎?這樣做是道德的嗎?

  答:這個問題的答案還在爭論之中。以下盡量不偏頗地列出對這個尷尬問題的雙方的觀點。然后,我會談一下我的意見。

  有些安全專家堅決認為社會工廠測試不應該成為滲透測試的一部分。原因是安全人員需要對企業(yè)的所有員工都非常信任。

  如果沒有這種信任,這些員工可能會忽視在滲透測試中的社會工程演習一部分的欺騙他們的人提出的建議。更糟的是,在這種測試中發(fā)現的缺乏良好的安全實踐的員工可能會被動或者主動地破壞他們的安全主動性,并對整個企業(yè)的安全狀況的改善帶來不利影響。

  在這個問題的另一個方面,有些人認為確保員工理解并遵守安全實踐至關重要,不必企業(yè)的技術結構和配置的重要性低。即使有完美的安全技術(而這是不存在的),不遵守可靠的安全實踐的用戶可能會破壞整個企業(yè)。而且如果員工的做法沒有標準,如何決定他們是不是合適呢?好的安全測量的方法之一是對目標企業(yè)進行等級式的社會工程攻擊,來看看他們如何反應。這樣的測試對員工的行為必調查或者測驗有了更好的實際的了解,在調查或者測驗中,員工的反應總是像他們是模范市民。

  雖然我對雙方的觀點都很尊重,但是我更贊同第二種觀點。社會工程測試具有很高的啟迪作用,可以揭示目標企業(yè)的安全意識中的不足。具體的發(fā)現可以幫助企業(yè)以更快更劃算的方式建立更好的安全意識。但是,這樣的測試的進行必須要極端關注和專業(yè)精神。在開始任何社會工程測試之前,都要確定:

  ◆ 列出測試的內容,并創(chuàng)建具體的測試假象腳本。

  ◆ 確定管理層預先同意在后的報告中不提及具體的員工姓名,測試應該關注確定企業(yè)中的漏洞,以及對員工整體改善的建議,而不是查找有問題的個人。

  ◆ 記錄測試中的所有的交互動作,但是不再后的報告中包括員工姓名。

  ◆ 考慮企業(yè)是否具有管理這種測試的專業(yè)技術,或者還是應該雇傭第三方。

  零了解滲透測試的贊成和反對理由是什么?

  問:如果測試人員不了解要進行滲透測試網站,贊成和反對的理由是什么?在理想狀態(tài)下,測試人員應該是什么也不知道嗎(為了更好的模仿攻擊者的思維模式)?

  答:對網站的滲透測試環(huán)境的零了解意味著滲透測試人員被告知很少的目標信息,可能只有它的URL,因此可以模仿真實的攻擊者。

  雖然對于預算和辦公室政治的環(huán)境很有幫助,可以向老板提交報告證明即使不了解新網站的人也可以入侵進入,但是我對零了解的方法還有一些保留意見。我們知道一定百分比的攻擊時來去網絡邊界內部的,或者來自有內部幫助的外部。如果你想要知道你的網站在所有現實情景中是否安全,零了解不是必須的好出發(fā)點。

  零了解的方法也有潛在的缺點,它返回結果比較慢。如果預先對測試人員介紹了系統(tǒng)的某些基礎,會節(jié)省時間,而在產品生產的時候,時間通常是緊張的。這里重要的變數之一是目標的狀態(tài):是在生產還是在開發(fā)?當測試產品系統(tǒng)的時候,你可能想要測試人員讓你盡快了解所發(fā)現的漏洞,而不是等后的報告。假設和測試人員的合同寫的很合適,你可能可以個給漏洞打補丁,并測試補丁。當然,有人會說把滲透測試人員作為安全的改進人員可以花少錢得到大的效果。

  后,不管你是否選擇從零了解出發(fā),記住在不觸犯法律的情況下你不可能真正的復制現實世界。你必須假定你的攻擊者準備好了犯法來完成他們的目標,但是很多企業(yè)可以給滲透測試人員免死金牌。所以,你想要你的滲透測試人員可以和犯罪黑客一樣思考,并把非法滲透到系統(tǒng)的方法寫下來給你。

  底線是現實世界和滲透測試是兩個不同的事情。如果有安全專家定期對產品中的潛在漏洞進行測試,而安全專家完全了解產品,而不是設置不現實的測試情景,你的安全資金可以以好的方式支出。