确保渗透测试计划成功的10个秘诀(语录)
2010-12-30 09:44
218 查看
10个秘诀表明你需要明白渗透测试的目的和重点,制定高效的测试策略,有效地利用你的人员,以及最有效地利用渗透测试的结果,以便补救问题、改进流程以及不断改善企业的安全状况。
第1个秘诀:确定目的。
渗透测试(其实所有信息安全活动)的目的是保护企业。目的倒不是说你利用很酷的技术活来钻漏洞的空子,而是发现企业在哪个环节面临最大的风险。InGuardians公司的创始人兼高级安全顾问Ed Skoudis说:“要是你无法从我公司的角度来进行表述,那你无法给我带来价值。不要告诉我你钻了某个漏洞的空子,获得了某个硬件设备的外壳程序,却不告诉我这对我公司来说意味着什么。”
目的不应该是仅仅为渗透测试弄一份复选框,罗列相关内容,以满足合规要求,比如支付卡行业的数据安全标准(PCI DSS)。渗透测试的目的应该不仅仅是查找漏洞(漏洞扫描应该是渗透测试计划的一部分,但代替不了渗透测试)。除非渗透测试是发现、利用和纠正安全漏洞的一项可持续计划的一部分,否则就算你投入了财力和精力,换来的充其量还是表示通过的那个勾号;最糟糕的情况是,通不过目光敏锐的评估人员的审计。
第2个秘诀:关注数据。
关键的步骤是缩小渗透测试的范围,重点关注数据发现:确定哪些敏感数据面临风险,它们在哪里。接下来的任务是,扮演攻击者的角色,搞清楚如何找出漏洞。Verizon安全解决方案公司的全球产品经理Omar Khawaja说:“在许多情况下,客户有成千上万个IP地址,希望我们对这么多地址进行渗透测试。我们可以运行漏洞测试,看看什么部分最脆弱,可是这对贵企业来说可能不是最重要的。”
第3个秘诀:与业务负责人交流。
要与业务部门的人合作。他们知道什么面临危险,知道哪些数据很关键、哪些应用程序在创建和联系这些数据。他们至少知道数据放在哪些比较明显的地方。他们还会告诉你哪些应用程序必须保持正常运行。InGuardians公司的Skoudis说:“先确定范围,包括关键的信息资产和业务交易处理。然后与渗透测试团队和管理人员开头脑风暴会。”
第4个秘诀:根据风险高低,进行测试。
进行哪种类型的测试,应取决于数据/应用程序的价值。对于低风险资产,定期的漏洞扫描无异于经济高效地利用资源。中等风险的资产可能需要结合漏洞扫描和手动的漏洞检查。至于高风险资产,应进行渗透测试,寻找可利用的漏洞。
第5个秘诀:了解攻击者的概况。
了解攻击者概况时要考虑的一个因素是动机。Core Security公司的Solino说:“我们基本了解了某个攻击者会对目标搞什么破坏,对此我们分得很清楚。针对每一种概况,我们获得渗透测试的结果,然后再了解另一种概况。”
第6个秘诀:掌握的信息越多越好。
Verizon公司的Khawaja说:“我们越来越多地开始采用社会工程学方法。这实际上是一种侦察手段(在客户许可的情况下进行),让我们得以在环境中找到可以帮助我们潜入进去的每个薄弱环节。”多阶段的渗透测试通常是重复进行侦察、评估漏洞和利用漏洞,每一步都为你提供更深入地渗透到网络的信息。
第7个秘诀:考虑所有攻击途径。
全面深入的渗透测试会根据攻击者的最终目的,而不是根据每个攻击途径的脆弱性,逐一测试所有这些潜在的攻击途径。Solino说:“要是几年前,我们会进行网络渗透测试、应用渗透测试和无线渗透测试;后来我们退一步说‘这么做毫无意义’。坏人才不说‘我只能通过网络闯入到系统’。”Khawaja表示,比如说,Verizon公司的渗透测试人员无法直接闯入可以访问敏感数据库的Web服务器。如果测试人员的目光局限于测试这台服务器上的Web应用程序,那么得出的结论会是:数据是安全的。但如果站在以数据为中心的角度,他们会发现与这台Web服务器连接的第二台Web服务器有一个重大漏洞,攻击者可以利用该漏洞来访问第一台Web服务器,进而访问那个敏感数据库。
第8个秘诀:确定交战规则。
渗透测试模拟攻击行为,但它不是一种攻击。需要制定规则,确定什么可以做,什么不可以做,什么时候做,谁需要知道内情。确定是黑盒测试还是白盒测试。
第9个秘诀:报告测试结果,并衡量进度。
渗透测试的目的是为了改善安全状况,所以如果你在进行内部测试,测试报告应该会提供实用而具体的信息,以便你付诸实际行动。InGuardians公司的Skoudis说:“目的是有助于增强安全性,以便管理人员做决定来改进业务,并且帮助运营团队增强安全性。”你应该出示一份测试摘要,不过报告重点应包括详细描述这些方面的内容:发现的漏洞,如何利用这些漏洞,以及万一真的发生攻击,哪些资产面临风险。详细介绍用来渗透的每个步骤、被利用的每个漏洞,最重要的可能是所有攻击途径。
第10个秘诀:决定谁是渗透测试人员。
Core Security公司的Solino表示,有望成为渗透测试人员的优秀培训对象要深入了解各种网络和应用协议,这是基础。他通常注重好奇心和黑客的心理素质。“既要有IT知识,还要具备不相信系统是安全的态度,主张‘大胆试一试!’’。”Skoudis说:“渗透测试是门艺术。虽说有一些工具和方法,但你在寻找目标系统和应用程序存在的问题时一定要有创意、有想法。”
第1个秘诀:确定目的。
渗透测试(其实所有信息安全活动)的目的是保护企业。目的倒不是说你利用很酷的技术活来钻漏洞的空子,而是发现企业在哪个环节面临最大的风险。InGuardians公司的创始人兼高级安全顾问Ed Skoudis说:“要是你无法从我公司的角度来进行表述,那你无法给我带来价值。不要告诉我你钻了某个漏洞的空子,获得了某个硬件设备的外壳程序,却不告诉我这对我公司来说意味着什么。”
目的不应该是仅仅为渗透测试弄一份复选框,罗列相关内容,以满足合规要求,比如支付卡行业的数据安全标准(PCI DSS)。渗透测试的目的应该不仅仅是查找漏洞(漏洞扫描应该是渗透测试计划的一部分,但代替不了渗透测试)。除非渗透测试是发现、利用和纠正安全漏洞的一项可持续计划的一部分,否则就算你投入了财力和精力,换来的充其量还是表示通过的那个勾号;最糟糕的情况是,通不过目光敏锐的评估人员的审计。
第2个秘诀:关注数据。
关键的步骤是缩小渗透测试的范围,重点关注数据发现:确定哪些敏感数据面临风险,它们在哪里。接下来的任务是,扮演攻击者的角色,搞清楚如何找出漏洞。Verizon安全解决方案公司的全球产品经理Omar Khawaja说:“在许多情况下,客户有成千上万个IP地址,希望我们对这么多地址进行渗透测试。我们可以运行漏洞测试,看看什么部分最脆弱,可是这对贵企业来说可能不是最重要的。”
第3个秘诀:与业务负责人交流。
要与业务部门的人合作。他们知道什么面临危险,知道哪些数据很关键、哪些应用程序在创建和联系这些数据。他们至少知道数据放在哪些比较明显的地方。他们还会告诉你哪些应用程序必须保持正常运行。InGuardians公司的Skoudis说:“先确定范围,包括关键的信息资产和业务交易处理。然后与渗透测试团队和管理人员开头脑风暴会。”
第4个秘诀:根据风险高低,进行测试。
进行哪种类型的测试,应取决于数据/应用程序的价值。对于低风险资产,定期的漏洞扫描无异于经济高效地利用资源。中等风险的资产可能需要结合漏洞扫描和手动的漏洞检查。至于高风险资产,应进行渗透测试,寻找可利用的漏洞。
第5个秘诀:了解攻击者的概况。
了解攻击者概况时要考虑的一个因素是动机。Core Security公司的Solino说:“我们基本了解了某个攻击者会对目标搞什么破坏,对此我们分得很清楚。针对每一种概况,我们获得渗透测试的结果,然后再了解另一种概况。”
第6个秘诀:掌握的信息越多越好。
Verizon公司的Khawaja说:“我们越来越多地开始采用社会工程学方法。这实际上是一种侦察手段(在客户许可的情况下进行),让我们得以在环境中找到可以帮助我们潜入进去的每个薄弱环节。”多阶段的渗透测试通常是重复进行侦察、评估漏洞和利用漏洞,每一步都为你提供更深入地渗透到网络的信息。
第7个秘诀:考虑所有攻击途径。
全面深入的渗透测试会根据攻击者的最终目的,而不是根据每个攻击途径的脆弱性,逐一测试所有这些潜在的攻击途径。Solino说:“要是几年前,我们会进行网络渗透测试、应用渗透测试和无线渗透测试;后来我们退一步说‘这么做毫无意义’。坏人才不说‘我只能通过网络闯入到系统’。”Khawaja表示,比如说,Verizon公司的渗透测试人员无法直接闯入可以访问敏感数据库的Web服务器。如果测试人员的目光局限于测试这台服务器上的Web应用程序,那么得出的结论会是:数据是安全的。但如果站在以数据为中心的角度,他们会发现与这台Web服务器连接的第二台Web服务器有一个重大漏洞,攻击者可以利用该漏洞来访问第一台Web服务器,进而访问那个敏感数据库。
第8个秘诀:确定交战规则。
渗透测试模拟攻击行为,但它不是一种攻击。需要制定规则,确定什么可以做,什么不可以做,什么时候做,谁需要知道内情。确定是黑盒测试还是白盒测试。
第9个秘诀:报告测试结果,并衡量进度。
渗透测试的目的是为了改善安全状况,所以如果你在进行内部测试,测试报告应该会提供实用而具体的信息,以便你付诸实际行动。InGuardians公司的Skoudis说:“目的是有助于增强安全性,以便管理人员做决定来改进业务,并且帮助运营团队增强安全性。”你应该出示一份测试摘要,不过报告重点应包括详细描述这些方面的内容:发现的漏洞,如何利用这些漏洞,以及万一真的发生攻击,哪些资产面临风险。详细介绍用来渗透的每个步骤、被利用的每个漏洞,最重要的可能是所有攻击途径。
第10个秘诀:决定谁是渗透测试人员。
Core Security公司的Solino表示,有望成为渗透测试人员的优秀培训对象要深入了解各种网络和应用协议,这是基础。他通常注重好奇心和黑客的心理素质。“既要有IT知识,还要具备不相信系统是安全的态度,主张‘大胆试一试!’’。”Skoudis说:“渗透测试是门艺术。虽说有一些工具和方法,但你在寻找目标系统和应用程序存在的问题时一定要有创意、有想法。”
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 百度成功秘诀:29条李彦宏经典语录
- 百战百胜的10个成功秘诀
- 百战百胜的10个成功秘诀
- 寓言故事中隐藏的10个成功秘诀
- 成功领导者的10个秘诀
- ERP功能测试最佳实践:10个步骤确保ERP系统的可靠性
- 成功人生的10个秘诀
- 成功领导者的10个秘诀
- 如何制定成功的测试计划
- 制定成功的测试计划
- 如何制定成功的测试计划
- 小马哥经典摘抄语录之------成功秘诀
- (转)如何编制成功的测试计划
- ERP功能测试最佳实践:10个步骤确保ERP系统的可靠性
- 百战百胜:人生10个成功秘诀
- 如何制定成功的测试计划
- 寓言故事中隐藏的10个成功秘诀
- 人生成功的秘诀在于做减法
- 1、python渗透测试——扫描端口(笔记)
- Web渗透测试求职问答大全