測試方法
有些滲透測試人員通過使用兩套掃描器進(jìn)行安全評估。這些工具至少能夠使整個過程實現(xiàn)部分自動化,這樣,技術(shù)嫻熟的專業(yè)人員就可以專注于所發(fā)現(xiàn)的問題。如果探查得更深入,則需要連接到任何可疑服務(wù),某些情況下,還要利用漏洞。
商用漏洞掃描工具在實際應(yīng)用中存在一個重要的問題:如果它所做的測試未能獲得肯定答案,許多產(chǎn)品往往會隱藏測試結(jié)果。譬如,有一款知名掃描器就存在這樣的缺點:要是它無法進(jìn)入Cisco路由器,或者無法用SNMP獲得其軟件版本號,它就不會做出這樣的警告:該路由器容易受到某些拒絕服務(wù)(DoS)攻擊。如果不知道掃描器隱藏了某些信息(譬如它無法對某種漏洞進(jìn)行測試),你可能誤以為網(wǎng)絡(luò)是安全的,而實際上,網(wǎng)絡(luò)的安全狀況可能是危險的。
除了找到合適工具以及具備資質(zhì)的組織進(jìn)行滲透測試外,還應(yīng)該準(zhǔn)確確定測試范圍。攻擊者會借助社會工程學(xué)、偷竊、賄賂或者破門而入等手法,獲得有關(guān)信息。真正的攻擊者是不會僅僅滿足于攻擊某個企業(yè)網(wǎng)絡(luò)的。通過該網(wǎng)絡(luò)再攻擊其它公司往往是**的慣用伎倆。攻擊者甚至?xí)ㄟ^這種方法進(jìn)入企業(yè)的ISP。
有關(guān)滲透測試的合同或工作說明應(yīng)該包括你從所得報告中想要獲得的各個方面。如果你請人進(jìn)行有限的測試,得到的只是計算機(jī)生成的報告。而滲透測試的真正價值在于由報告所**出的分析。進(jìn)行測試的一方會詳細(xì)介紹發(fā)現(xiàn)結(jié)果,并說明其重要性。在有的地方,測試人員還會提議采取何種補(bǔ)救方法,譬如更新服務(wù)器、禁用網(wǎng)絡(luò)服務(wù)、改變防火墻規(guī)則等等。
安全性不是某時刻的解決方案,而是需要嚴(yán)格評估的一個過程。安全性措施需要進(jìn)行定期檢查,才能發(fā)現(xiàn)新的威脅。滲透測試和公正的安全性分析可以使許多單位重視他們*需要的內(nèi)部安全資源。此外,獨(dú)立的安全審計也正迅速成為獲得網(wǎng)絡(luò)安全保險的一個要求。
現(xiàn)在符合規(guī)范和法律要求也是執(zhí)行業(yè)務(wù)的一個必要條件,滲透測試工具可以幫助許多單位滿足這些規(guī)范要求。
啟動一個企業(yè)電子化項目的核心目標(biāo)之一,是實現(xiàn)與戰(zhàn)略伙伴、提供商、客戶和其他電子化相關(guān)人員的緊密協(xié)作。要實現(xiàn)這個目標(biāo),許多單位有時會允許合作伙伴、提供商、B2B 交易中心、客戶和其他相關(guān)人員使用可信連接方式來訪問他們的網(wǎng)絡(luò)。一個良好執(zhí)行的滲透測試和安全性審計可以幫助許多單位發(fā)現(xiàn)這個復(fù)雜結(jié)構(gòu)中的*脆弱鏈路,并保證所有連接的實體都擁有標(biāo)準(zhǔn)的安全性基線。
當(dāng)擁有安全性實踐和基礎(chǔ)架構(gòu),滲透測試會對商業(yè)措施之間的反饋實施重要的驗證,同時提供了一個以*小風(fēng)險而成功實現(xiàn)的安全性框架。
如今,大多數(shù)攻擊進(jìn)行的是*基本的漏洞掃描,如果攻擊得逞,目標(biāo)就岌岌可危。如果攻擊者企圖對你站點進(jìn)行漏洞掃描,他就會獲得大量的防火墻日志消息,而監(jiān)控網(wǎng)絡(luò)的任何入侵檢測系統(tǒng)(IDS)也會開始發(fā)送有關(guān)當(dāng)前攻擊的警報。如果你還沒有試過,不妨利用漏洞掃描器結(jié)合IDS對網(wǎng)絡(luò)來一番試驗。別忘了首先獲得對方的許可,因為,運(yùn)行漏洞掃描器會使IDS引發(fā)警報。
你還應(yīng)該制訂測試準(zhǔn)則,譬如說:滲透測試人員可以探查漏洞并進(jìn)行測試,但不得利用,因為這可能會危及到你想要保護(hù)的系統(tǒng)。
滲透測試旨在證明,網(wǎng)絡(luò)防御機(jī)制的運(yùn)行與你認(rèn)為的一樣良好。往往系統(tǒng)和網(wǎng)絡(luò)管理員視審查人員或滲透人員為敵人,但實際上他們卻是朋友。到位的滲透測試可以證明你的防御確實有效,或者查出問題,幫助你阻擋未來攻擊。出錢請自己知道的人來發(fā)現(xiàn)網(wǎng)絡(luò)中的漏洞,總比讓自己不知道的人發(fā)現(xiàn)漏洞好得多。
滲透測試也許是你的網(wǎng)絡(luò)防御工具箱當(dāng)中的重要武器之一。應(yīng)該視之為各種安全審查的一部分,但要確保審查人員勝任這項工作。
-/gbadeeb/-
http://mmsped.com