之前一篇《CISSP考点拾遗——安全评估方法assessment methods》中谈到:
评估活动的对象有四类:规格specifications 、机制mechanisms、活动activities和个人individuals;
评估的方法有三种:检查examine、访谈interview、测试test;
访谈interview是针对人的,很容易跟其他的区分;检查examine的对象是规范 、机制和活动,在评估规范时,采用的是文件评审(Documentation Review)的方法,跟其他活动也容易区分;但评估机制和活动时,检查examine方法和测试test方法都可能被运用,并且由于都会涉及对系统的实际操作和交互,可能比较难区分所采取的行动究竟属于检查方法还是测试方法,自然就成为了一个受欢迎的出题点,俗称“坑点”~~
测试方法大多会从目标系统的外部发起,并会涉及对目标系统的较多的交互,比如扫描、渗透测试等;如果基于系统本身发起,意图是观察系统的“反应reaction”(而不是状态status)。在安全评估中,测试方法主要涉及目标识别和分析(Target Identification and Analysis)以及目标脆弱性验证(Target Vulnerability Validation),典型活动如下:
- 网络发现
- 端口扫描和服务指纹识别
- 漏洞扫描
- 渗透测试
- 口令破解
- 默认值尝试(尝试默认用户名口令登录,或尝试能否按默认的弱配置实现未授权访问等)
- 违背值尝试(比如策略说口令至少8位,就试下配或者改个6位的口令看系统是否通过)
- 社会工程学(虽然也是对人的但不至于跟访谈interview搞混吧~~)
检查方法所采取的行动一般对目标系统没有影响,即使有一些“交互”如登录、点击、输入命令获得返回等,意图也只是直接从目标系统本身读取配置和状态信息,不涉及系统的“反应”,也不会涉及类似“试试看这样行不行”的想法。其典型活动如下:
- 文件评审 DocumentationReview
- 日志评审 LogReview
- 规则集评审 RulesetReview
- 系统配置评审 System ConfigurationReview
- 网络嗅探 Network Sniffing(注意正常的网络嗅探算检查方法,用arp欺骗等手段实现的不算哈)
- 文件完整性校对 File Integrity Checking
强调!!网络嗅探和文件完整性校对属于检查方法而不是测试方法的说法,见于NIST SP 800-115,嘎嘎权威~~
补充知识:文件完整性校对
文件完整性校对File Integrity Checking是一种识别关键文件是否被更改的方法。方法是先计算并存储每个受保护文件的校验和(或哈希),并建立文件校验和(或哈希)的基准数据库。将系统文件的当前值与存储的基准值进行比较,能识别出关键文件是否被修改。
必须保证参考数据库(基准值数据库)不是在已受损文件的基础上构建的;参考数据库应该离线存储;此外,由于修补程序和其他更新会更改文件,因此参考数据库应被变更管理所覆盖,保持最新。