其次,网络渗透测试的错误实施可能会对公司网络的稳定性带来可怕的后果。举例来说,入侵者(包括白帽和黑帽黑客)所使用的某些工具软件其设计的目的是探测某个网络中存在的安全漏洞。对于某些安全漏洞,尤其是拒绝服务(DoS)漏洞而言,在未进行测试之前是很难断言某个系统是否存在这些漏洞的。因此,我们只能使用一些工具来对网络进行攻击。如果遭受攻击之后系统仍然能够正常响应,那么它没有漏洞!对某个办公网络错误地使用这类工具,可能带来的影响是非常迅速地让整个网络无法正常工作。即使这样的悲剧没有发生,对某个系统使用攻击工具和漏洞溢出程序也有可能造成误伤,让这一系统甚至整个网络变得不稳定,或者是造成其他无意的不良后果。作为一名网络安全专家,他应当了解在何处划定一条线,使他能够对网络进行某种程度的攻击而不对它造成破坏,反之,一名网络安全的业余爱好者通常不会考虑到这些因素。

  第三,网络渗透测试需要专门的工具软件,在很多情况下,这些工具并非可以随处找到。尽管某些系统管理员完全具备编写这些工具的能力,但是通常说来,将用于编写工具的时间花在保护网络上面效果会更好。

  第四,网络渗透测试中为关键的部分??编写测试结果报告,实际上是极其枯燥乏味的。在后面的叙述部分中,我们可以只注意对于攻击描述的详细程度是怎样的。同时也请牢记在心,我们会故意将某些东西简化,以避免为如何进攻一个网络提供完整的指导。与之相反,要编写恰当的渗透测试报告,渗透测试人员必须保留极为详细的笔记,然后花费几个小时的时间来将它们合并成一份便于使用的文档。测试报告必须足够详细,使得其他人能够理解攻击过程,否则这一报告将不会有多少价值。

  以上几点可以归结为一句话:尽管了解入侵者是如何操作的、他们所依赖的操作实践类型,以及他们采用的攻击手段是非常关键的,但对于绝大多数的系统管理员及安全管理员来说,能够实际地实施这些攻击并非必需的。这如同欣赏艺术品一样,与能够创造它们相比是完全不同的要求。渗透测试是这样的艺术品。我的建议是,把测试工作交给那些具备相应技能、思维清晰并且有时间来学习如何有效进行渗透的人。通常说来,这一任务好留给安全顾问们,因为他们具备技能、工具、头脑,所以你对网络的预先了解并不会影响他们。我们可以在邮件列表里,或者新闻组上面同其他公司的同事进行交谈,并了解哪些人是真正的渗透测试顾问。同样要谨记在心的还有,应用程序的渗透测试和网络渗透测试是完全不同的两种任务。原因很简单,那些能够在某些特定软件产品中发现安全漏洞的人,并不一定能够实施对一个网络的渗透攻击。如果你感兴趣的是网络渗透测试的话,那么寻找那些专攻网络渗透测试的公司。应用程序的评估同样是可以做到的,但这是另一种类型的任务,目标不同,而且它主要是针对那些进行内部软件开发或使用定制软件的公司。

  如果你在负责为一次渗透测试签订合同,那么你要留意的法律问题是什么呢?首先也是重要的,我们强调再多次也不为过:确保签署这一渗透测试合同的人,具备授权某人入侵这一网络,也是授予“无罪释放”令牌的权力。

  目前,有许多人之所以在监狱服刑,是因为他们侵入了那些他们原本认为自己有权侵入的系统,然而不久之后他们认识到,实际上他们并没有这一权力。对于那些想找人来入侵某个他们无权进入系统的人们,同样的牢狱命运也许等待着他们。

  其次,要确保你已经具备了效力充分的不泄漏保证协议,而且这些安全顾问将不会被允许保留任何公司的敏感信息,除非处于极其严格的数据保护标准之下。糟糕的事情莫过于,花钱雇佣一些人来入侵你的网络,后却发现网络的设计图被某人记录下来,网络的安全也随后也被危及。而且,更危险的是,这些人会利用公司的敏感信息并将其兜售给其他别有用心的人。

  再次,将这一测试报告视作一剂有益健康的“多疑症注射剂”。当这一报告来源于一次黑盒测试时(在测试中,测试人员不具备访问内部信息的权力,例如源代码和账号列表),这一点尤其正确,因为这恰好展示了在没有内部信息的情况下入侵者所能实施的行为。安全管理员可能犯下的大错误是假设一切都没有问题。

  后,请对“你的网络是安全的”这类近乎虚构的报告结论保持警觉。这一情况出现的频率高得令人担忧,基于他们无法渗透进入任何系统的事实,安全顾问会向你提交一份报告,其中宣称这一网络是安全的。这并不意味着你的网络的确是安全的。如果某一名渗透测试人员告诉你,你的网络是安全的,那么他的这一番话只能表明他的能力不足以证明网络是不安全的。你的网络其实并不安全。它仅仅对那些渗透测试人员了解如何利用的漏洞或问题有足够的防护能力。合同中应当明确声明,怎样才能构成一次成功的入侵,以及如果渗透测试人员无法完成一次入侵,酬金会减少多少。这里至关重要的一点,漏洞分析工具的输出结果并不能等同于一次网络渗透测试。