你還應(yīng)該制訂測試準(zhǔn)則,譬如說:滲透測試人員可以探查漏洞并進(jìn)行測試,但不得利用,因?yàn)檫@可能會危及到你想要保護(hù)的系統(tǒng)。
滲透測試可以用來向第三方,譬如投資方或者你的管理人員提供網(wǎng)絡(luò)安全狀況方面的具體證據(jù)。事實(shí)上,你知道網(wǎng)絡(luò)中存在的漏洞可能已有一段時日,但無法說服管理人員分配必要資源以補(bǔ)救漏洞。光靠自己,網(wǎng)絡(luò)或安全管理員的意見往往不會被董事會采納。如果外面的顧問贊同你的評估,或許會有奇跡出現(xiàn)。
還要確定的是,哪些系統(tǒng)需要測試。雖然你不想漏掉可能會受到攻擊的某個系統(tǒng),但可能仍想分階段把滲透測試外包出去,以便每個階段專注于網(wǎng)絡(luò)的不同部分。
為了從滲透測試上獲得*大價(jià)值,應(yīng)該向測試組織提供盡可能詳細(xì)的信息。這些組織同時會簽署保密協(xié)議,這樣,你就可以更放心地共享策略、程序及有關(guān)網(wǎng)絡(luò)的其它關(guān)鍵信息。
以外部需要訪問的Web或應(yīng)用服務(wù)器為例,你應(yīng)該考慮與滲透測試人員共享這些應(yīng)用的源代碼,如果測試涉及這些腳本或程序的話。沒有源代碼,很難測試ASP或CGI腳本,事先認(rèn)定攻擊者根本不會看到源代碼是不明智的。Web服務(wù)器軟件里面的漏洞往往會把腳本和應(yīng)用暴露在遠(yuǎn)程攻擊者面前。如果能夠獲得應(yīng)用的源代碼,則可以提高測試該應(yīng)用的效率。畢竟,你出錢是為了讓滲透測試人員查找漏洞,而不是浪費(fèi)他們的時間。
如今,大多數(shù)攻擊進(jìn)行的是*基本的漏洞掃描,如果攻擊得逞,目標(biāo)就岌岌可危。如果攻擊者企圖對你站點(diǎn)進(jìn)行漏洞掃描,他就會獲得大量的防火墻日志消息,而監(jiān)控網(wǎng)絡(luò)的任何入侵檢測系統(tǒng)(IDS)也會開始發(fā)送有關(guān)當(dāng)前攻擊的警報(bào)。如果你還沒有試過,不妨利用漏洞掃描器結(jié)合IDS對網(wǎng)絡(luò)來一番試驗(yàn)。別忘了首先獲得對方的許可,因?yàn)?,運(yùn)行漏洞掃描器會使IDS引發(fā)警報(bào)。
此外,你還要提供合適的測試途徑。如果你想測試在非軍事區(qū)(DMZ)里面的系統(tǒng),*好的測試地方就是在同一個網(wǎng)段內(nèi)測試。讓滲透測試人員在防火墻外面進(jìn)行測試聽起來似乎更實(shí)際,但內(nèi)部測試可以大大提高發(fā)現(xiàn)防火墻原本隱藏的服務(wù)器安全漏洞的可能性。因?yàn)?,一旦防火墻設(shè)置出現(xiàn)變動,就有可能暴露這些漏洞,或者有人可能通過漏洞,利用一臺DMZ服務(wù)器攻擊其它服務(wù)器。還記得尼姆達(dá)病毒嗎?它就是**攻擊得逞后、利用一臺Web服務(wù)器發(fā)動其它攻擊的。
滲透測試也許是你的網(wǎng)絡(luò)防御工具箱當(dāng)中的重要武器之一。應(yīng)該視之為各種安全審查的一部分,但要確保審查人員勝任這項(xiàng)工作。
-/gbadeeb/-
http://m.mmsped.com