安全測試之滲透測試成功的8個關鍵_第1頁
安全測試之滲透測試成功的8個關鍵_第2頁
安全測試之滲透測試成功的8個關鍵_第3頁
安全測試之滲透測試成功的8個關鍵_第4頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

安全測試之滲透測試成功的8個關鍵知道為什么要測試執(zhí)行滲透測試的目的是什么?是滿足審計要求?是你需要知道某個新應用在現(xiàn)實世界中表現(xiàn)如何?你最近換了安全基礎設施中某個重要組件而需要知道它是否有效?或者滲透測試根本就是作為你定期檢查防御健康的一項例行公事?當你清楚做測試的原因時,你也就知曉自己想從測試中得到什么了,而這可以讓測試規(guī)劃工作更有效率。知道做測試的緣由可以讓人恰當?shù)卮_立測試的范圍,確定測試結果將會揭露什么問題。或許這一步中最重要的一部分,是讓團隊提前架設好準備從測試結果中得出正確的結論的心理預期。如果測試是要審查IT基礎設施的某個特定方面(比如說新的Web應用),那就沒必要著墨于公司整體安全。理解做測試的緣由可以讓你問出正確的問題,得到能被恰當理解的結果。了解你的網(wǎng)絡漏洞是安全的重點。企業(yè)網(wǎng)絡上線之日直至如今必然經(jīng)歷種種變遷,只要攻擊者比企業(yè)自己的IT員工更清楚其中存在的漏洞,企業(yè)網(wǎng)絡就對攻擊者門戶洞開。繪制公司網(wǎng)絡地圖的責任不落在滲透測試團隊身上。如果滲透測試團隊在做這項工作,就意味著你有可能錯過他們的測試結果,因為你收到的網(wǎng)絡架構消息都能把滲透測試結果淹沒。一張更新的網(wǎng)絡地圖(包括邏輯方面和拓撲方面)應成為滲透測試的強制性前提條件。如果滲透測試員在告訴你你所不知道的網(wǎng)絡架構情況,那你就是在為網(wǎng)絡地圖買單——很貴的那種。設置范圍紅隊探測范圍有多廣,很大程度上取決于你為什么要做這個測試,因為太廣或太窄可能都無甚大用。測試范圍過窄的問題很明顯:如果想要找出的問題在測試范圍外,那就沒有任何數(shù)據(jù)能幫助確定該組件的安全。所以,必須確保測試參數(shù)包含事關公司當前安全狀態(tài)的重要組件。最重要的是,你得確定自己要測試的是整體安全狀況還是某特定系統(tǒng)的安全狀態(tài),以及人為因素(對網(wǎng)絡釣魚和其他社會工程攻擊的敏感性 )需不需要被包含進去。如果測試范圍過寬,有可能出現(xiàn)兩個問題。第一個問題是經(jīng)濟上的:測試費用會隨范圍的擴大而增加,而測試價格與所需信息不相匹配的狀況又會影響到公司高層對未來測試的熱情。第二個問題就更為致命了。測試范圍過大時,測試本身容易返回太多信息,真正所需的數(shù)據(jù)很容易被淹沒在巨量的測試結果中。教訓很清楚:想要測試架構中特定部分的安全,就將滲透測試的范圍限定在那個部分上。對整個系統(tǒng)的測試可以留待下次進行。做好計劃弄清測試目的并確定出測試范圍后,就可以開始制定測試計劃了。定出詳細明確的測試條件和需求最為重要,任何松散或須經(jīng)解釋的測試要求都會削減滲透測試的效率。需做好詳盡計劃的原因有很多,其中最主要的原因與成本控制和提升測試結果可用性有關。良好的測試計劃應分為多個部分。一個部分幫助委托公司鞏固其測試方案的要求。一個部分確認測試返回數(shù)據(jù)的類型。還要有一部分內(nèi)容為向公司執(zhí)行委員會解釋測試開銷做準備。測試計劃不是制定好后就固定不變的,測試過程中可能需作出修訂。測試團隊被聘用后,他們可能會針對某些測試元素提出一些能產(chǎn)生更好結果的建議。其中關鍵就在于,公司內(nèi)部就該測試計劃達成一致后,安全團隊就能判斷滲透測試員的建議是否能滿足測試需求了,不用什么都依靠測試團隊的力量。雇正確的團隊提供滲透測試服務的公司和顧問很多。這些公司都有各自的優(yōu)勢和弱點,他們的技術技巧各有千秋,呈現(xiàn)測試結果的方式也有好有壞。公司有必要確保所選測試團隊的能力盡可能地符合測試需要。要注意的是,測試需求應高于客戶要求。確實,有些團隊在導引征求建議書(RFP)過程或擠進獲批供應商列表上頗有心得,但他們執(zhí)行測試計劃所需滲透測試動作的技術未必比得上這些在應付客戶上的技巧。選擇滲透測試團隊時應將測試技術放在第一位,會計和行政管理方面的能力次之。可以考察測試團隊的老辣程度,看他們?nèi)绾卧诓煌品媱澋臈l件下提出建議,改進客戶的測試計劃。這也是為什么前期要做好測試計劃的一個重要原因。因為可以檢查測試過程中的種種改動。不要干預人都想得到別人的認同,這是人類天性。但滲透測試的目的就是要展現(xiàn)出公司企業(yè)安全狀態(tài)的實際情況,所以,盡量別為了得到個看起來好看的結果而人為干擾滲透測試員,給防御方提供不公平的優(yōu)勢。事實上,紅隊幾乎總能某種程度上滲透進公司網(wǎng)絡邊界。 我們當前的技術和操作就是這樣的。很多情況下,真正的問題存在于藍隊到底什么時候才能發(fā)現(xiàn)已被攻破,會如何響應。無論測試結果如何,都要讓測試過程正常進行,以便結果真實、準確、有用。管理層的任何干預都會毀了滲透測試的有效性,請一定記得在測試完成前不要插手。注意結果測試完成后,你會得到一份完整的報告,需仔細研讀。滲透測試員應向你呈現(xiàn)出測試的結果,如果你有機會根據(jù)測試結果改進安全系統(tǒng),別放過這種機會?;蛟S滲透測試是為了滿足監(jiān)管合規(guī)要求而做的。也有可能你就沒想找任何理由來改變你的安全防御。這都沒關系。你的安全防御如今已遭遇過敵軍主力,而你可以看清安全計劃的成功之處與失敗的地方。如果測試結果被用于做出有意義的改變,滲透測試就是劃算的。而劃算的滲透測試也更有可能在未來獲得公司高層的安全預算。溝通結果對大多數(shù)公司來說,滲透測試的結果不局限在安全團隊范圍內(nèi)。至少,對整個 IT部門都有影響,而很多情況下還有高管們需要看到的信息。很多安全人員都覺得,向非安全專業(yè)的經(jīng)理傳達滲透測試結果是過程中最難的部分。不僅需要說明都做了什么,為什么要

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論