确保渗透测试成功的十个秘诀
作者:网络转载 发布时间:[ 2010/12/14 15:59:15 ] 推荐标签:
为什么你要进行渗透测试?无论是借助内部团队、外部专家还是结合两者,你是单单满足监管要求或审计要求?还是其实希望增强企业安全?
我们请教了渗透测试方面的几位专家,指导你如何改进计划,以便付出去的时间、金钱和努力取得大成效。如果你求助于外部专家,他们给出的建议会让你明白对顾问应该有怎样的期望和要求。下面这10个秘诀表明你需要明白渗透测试的目的和重点,制定高效的测试策略,有效地利用你的人员,以及有效地利用渗透测试的结果,以便补救问题、改进流程以及不断改善企业的安全状况。
第1个秘诀:确定目的。
渗透测试(其实所有信息安全活动)的目的是保护企业。说白了是,你充当攻击者的角色,查找安全漏洞,并且钻漏洞的空子,从而查明企业面临的风险,并且根据测试结果,给出相应建议,以增强安全。攻击者在试图窃取你的数据??他们采用的技术只是达到目的的手段。渗透测试也是如此:目的倒不是说你利用很酷的技术活来钻漏洞的空子,而是发现企业在哪个环节面临大的风险。
InGuardians公司的创始人兼高级安全顾问Ed Skoudis说:“要是你无法从我公司的角度来进行表述,那你无法给我带来价值。不要告诉我你钻了某个漏洞的空子,获得了某个硬件设备的外壳程序,却不告诉我这对我公司来说意味着什么。”
如果明白了这个道理,那么从更加战术性的角度来看,渗透测试是个好方法,可以确定你的安全政策、控制措施和技术的实际效果有多好。贵公司把许多钱投入到安全产品上,给系统打补丁,以及确保端点安全等方面。作为渗透测试人员,你是在模仿攻击者,试图绕过或突破安全控制。
Core Security公司的创始人兼安全咨询服务主管Alberto Solino说:“你是想对公司好好评估一番,看看钱有没有花在刀口上。”
目的不应该是仅仅为渗透测试弄一份复选框,罗列相关内容,以满足合规要求,比如支付卡行业的数据安全标准(PCI DSS)。渗透测试的目的应该不仅仅是查找漏洞(漏洞扫描应该是渗透测试计划的一部分,但代替不了渗透测试)。除非渗透测试是发现、利用和纠正安全漏洞的一项可持续计划的一部分,否则算你投入了财力和精力,换来的充其量还是表示通过的那个勾号;糟糕的情况是,通不过目光敏锐的评估人员的审计。
第2个秘诀:关注数据。
无论你在进行内部测试,聘请外部顾问,还是结合两者,企业用于渗透测试的预算和资源都很有限。你做不到针对包括成百上千个设备的IT基础设施进行渗透测试,不过渗透测试人员常常会被要求试着攻击一大段IP地址上的众多设备。结果进行的很可能是草率的测试方法,几乎没有什么作用。你别指望能在合理的时间段里,以合理的成本,对数量非常多的设备进行漏洞扫描、补救漏洞。
Verizon安全解决方案公司的全球产品经理Omar Khawaja说:“在许多情况下,客户有成千上万个IP地址,希望我们对这么多地址进行渗透测试。我们可以运行漏洞测试,看看什么部分脆弱,可是这对贵企业来说可能不是重要的。”
退一步问一问:“我要保护的是什么?”哪些关键数据面临风险:是信用卡数据、病人信息、客户的个人身份信息、商业计划还是知识产权?这些信息在什么地方?你甚至知道含有敏感数据的每个数据库、每个文件存储库和每个日志存储区吗?你也许不知道,但攻击者很可能找得到。
所以,第一个关键的步骤是缩小渗透测试的范围,重点关注数据发现:确定哪些敏感数据面临风险,它们在哪里。接下来的任务是,扮演攻击者的角色,搞清楚如何找出漏洞。
Core Security公司的Solino说:“目的是模仿真正的攻击者在一定时间段内会对客户搞什么破坏,而不是找出所有可能存在的问题。”
第3个秘诀:与业务负责人交流。
要与业务部门的人合作。他们知道什么面临危险,知道哪些数据很关键、哪些应用程序在创建和联系这些数据。他们至少知道数据放在哪些比较明显的地方。他们还会告诉你哪些应用程序必须保持正常运行。
只有这样,你才会基本上了解与某些应用程序有关的威胁级别,以及风险等式中很重要的数据和资产具有的价值。
这个过程的一个重要方面是,与懂得应用程序业务逻辑的人合作。知道应用程序本该做什么、本该如何运行,可以帮你找到应用程序的漏洞,并钻空子。
InGuardians公司的Skoudis说:“先确定范围,包括关键的信息资产和业务交易处理。然后与渗透测试团队和管理人员开头脑风暴会。”
Skoudis还建议要求管理人员提出坏情况的场景,“要是有人闯入了企业,可能发生的糟糕事情是什么?”这种演练有助于查明“真正的宝贵数据”在哪里,从而确定项目范围。
相关推荐
最新发布
性能测试之测试环境搭建的方法
2020/7/21 15:39:32软件测试是从什么时候开始被企业所重视的呢?
2020/7/17 9:09:11Android自动化测试框架有哪些?有什么用途?
2020/7/17 9:03:50什么样的项目适合做自动化?自动化测试人员应具备怎样的能力?
2020/7/17 8:57:06几大市面主流性能测试工具测评
2020/7/17 8:52:11RPA机器人能够快速响应企业需求,是怎么做到的?
2020/7/17 8:48:05Bug可以真正消灭吗?为什么?
2020/7/17 8:43:03软件测试基本概念是怎么来的?软件测试生命周期的形成历经了什么?
2020/7/16 9:11:10