10个秘诀表明你需要明白***测试的目的和重点,制定高效的测试策略,有效地利用你的人员,以及最有效地利用***测试的结果,以便补救问题、改进流程以及不断改善企业的安全状况。
第1个秘诀:确定目的。
***测试(其实所有信息安全活动)的目的是保护企业。目的倒不是说你利用很酷的技术活来钻漏洞的空子,而是发现企业在哪个环节面临最大的风险。InGuardians公司的创始人兼高级安全顾问Ed Skoudis说:“要是你无法从我公司的角度来进行表述,那你无法给我带来价值。不要告诉我你钻了某个漏洞的空子,获得了某个硬件设备的外壳程序,却不告诉我这对我公司来说意味着什么。”
目的不应该是仅仅为***测试弄一份复选框,罗列相关内容,以满足合规要求,比如支付卡行业的数据安全标准(PCI DSS)。***测试的目的应该不仅仅是查找漏洞(漏洞扫描应该是***测试计划的一部分,但代替不了***测试)。除非***测试是发现、利用和纠正安全漏洞的一项可持续计划的一部分,否则就算你投入了财力和精力,换来的充其量还是表示通过的那个勾号;最糟糕的情况是,通不过目光敏锐的评估人员的审计。
第2个秘诀:关注数据。
关键的步骤是缩小***测试的范围,重点关注数据发现:确定哪些敏感数据面临风险,它们在哪里。接下来的任务是,扮演***者的角色,搞清楚如何找出漏洞。Verizon安全解决方案公司的全球产品经理Omar Khawaja说:“在许多情况下,客户有成千上万个IP地址,希望我们对这么多地址进行***测试。我们可以运行漏洞测试,看看什么部分最脆弱,可是这对贵企业来说可能不是最重要的。”
第3个秘诀:与业务负责人交流。
要与业务部门的人合作。他们知道什么面临危险,知道哪些数据很关键、哪些应用程序在创建和联系这些数据。他们至少知道数据放在哪些比较明显的地方。他们还会告诉你哪些应用程序必须保持正常运行。InGuardians公司的Skoudis说:“先确定范围,包括关键的信息资产和业务交易处理。然后与***测试团队和管理人员开头脑风暴会。”
第4个秘诀:根据风险高低,进行测试。
进行哪种类型的测试,应取决于数据/应用程序的价值。对于低风险资产,定期的漏洞扫描无异于经济高效地利用资源。中等风险的资产可能需要结合漏洞扫描和手动的漏洞检查。至于高风险资产,应进行***测试,寻找可利用的漏洞。
第5个秘诀:了解***者的概况。
了解***者概况时要考虑的一个因素是动机。Core Security公司的Solino说:“我们基本了解了某个***者会对目标搞什么破坏,对此我们分得很清楚。针对每一种概况,我们获得***测试的结果,然后再了解另一种概况。”
第6个秘诀:掌握的信息越多越好。
Verizon公司的Khawaja说:“我们越来越多地开始采用社会工程学方法。这实际上是一种侦察手段(在客户许可的情况下进行),让我们得以在环境中找到可以帮助我们潜入进去的每个薄弱环节。”多阶段的***测试通常是重复进行侦察、评估漏洞和利用漏洞,每一步都为你提供更深入地***到网络的信息。
第7个秘诀:考虑所有***途径。
全面深入的***测试会根据***者的最终目的,而不是根据每个***途径的脆弱性,逐一测试所有这些潜在的***途径。Solino说:“要是几年前,我们会进行网络***测试、应用***测试和无线***测试;后来我们退一步说‘这么做毫无意义’。坏人才不说‘我只能通过网络闯入到系统’。”Khawaja表示,比如说,Verizon公司的***测试人员无法直接闯入可以访问敏感数据库的Web服务器。如果测试人员的目光局限于测试这台服务器上的Web应用程序,那么得出的结论会是:数据是安全的。但如果站在以数据为中心的角度,他们会发现与这台Web服务器连接的第二台Web服务器有一个重大漏洞,***者可以利用该漏洞来访问第一台Web服务器,进而访问那个敏感数据库。
第8个秘诀:确定交战规则。
***测试模拟***行为,但它不是一种***。需要制定规则,确定什么可以做,什么不可以做,什么时候做,谁需要知道内情。确定是黑盒测试还是白盒测试。
第9个秘诀:报告测试结果,并衡量进度。
***测试的目的是为了改善安全状况,所以如果你在进行内部测试,测试报告应该会提供实用而具体的信息,以便你付诸实际行动。InGuardians公司的Skoudis说:“目的是有助于增强安全性,以便管理人员做决定来改进业务,并且帮助运营团队增强安全性。”你应该出示一份测试摘要,不过报告重点应包括详细描述这些方面的内容:发现的漏洞,如何利用这些漏洞,以及万一真的发生***,哪些资产面临风险。详细介绍用来***的每个步骤、被利用的每个漏洞,最重要的可能是所有***途径。
第10个秘诀:决定谁是***测试人员。
Core Security公司的Solino表示,有望成为***测试人员的优秀培训对象要深入了解各种网络和应用协议,这是基础。他通常注重好奇心和***的心理素质。“既要有IT知识,还要具备不相信系统是安全的态度,主张‘大胆试一试!’’。”Skoudis说:“***测试是门艺术。虽说有一些工具和方法,但你在寻找目标系统和应用程序存在的问题时一定要有创意、有想法。”