你還應該制訂測試準則,譬如說:滲透測試人員可以探查漏洞并進行測試,但不得利用,因為這可能會危及到你想要保護的系統。
有關滲透測試的合同或工作說明應該包括你從所得報告中想要獲得的各個方面。如果你請人進行有限的測試,得到的只是計算機生成的報告。而滲透測試的真正**在于由報告所**出的分析。進行測試的一方會詳細介紹發現結果,并說明其重要性。在有的地方,測試人員還會提議采取何種補救方法,譬如較新服務器、禁用網絡服務、改變*墻規則等等。
以外部需要訪問的Web或應用服務器為例,你應該考慮與滲透測試人員共享這些應用的源代碼,如果測試涉及這些腳本或程序的話。沒有源代碼,很難測試ASP或CGI腳本,事先認定攻擊者根本不會看到源代碼是不明智的。Web服務器軟件里面的漏洞往往會把腳本和應用暴露在遠程攻擊者面前。如果能夠獲得應用的源代碼,則可以提高測試該應用的效率。畢竟,你出錢是為了讓滲透測試人員查找漏洞,而不是浪費他們的時間。
此外,你還要提供合適的測試途徑。如果你想測試在非軍事區(DMZ)里面的系統,*好的測試地方就是在同一個網段內測試。讓滲透測試人員在*墻外面進行測試聽起來似乎較實際,但內部測試可以大大提高發現*墻原本隱藏的服務器安全漏洞的可能性。因為,一旦*墻設置出現變動,就有可能暴露這些漏洞,或者有人可能通過漏洞,利用一臺DMZ服務器攻擊其它服務器。還記得尼姆達病毒嗎?它就是**攻擊得逞后、利用一臺Web服務器發動其它攻擊的。
滲透測試旨在證明,網絡防御機制的運行與你認為的一樣良好。往往系統和網絡管理員視審查人員或滲透人員為敵人,但實際上他們卻是朋友。到位的滲透測試可以證明你的防御確實有效,或者查出問題,幫助你阻擋未來攻擊。出錢請自己知道的人來發現網絡中的漏洞,總比讓自己不知道的人發現漏洞好得多。
滲透測試,是為了證明網絡防御按照預期計劃正常運行而提供的一種機制。不妨假設,你的公司定期較新安全策略和程序,時時給系統打補丁,并采用了漏洞掃描器等工具,以確保所有補丁都已打上。如果你早已做到了這些,為什么還要請外方進行審查或滲透測試呢?因為,滲透測試能夠獨立地檢查你的網絡策略,換句話說,就是給你的系統安了一雙眼睛。而且,進行這類測試的,都是尋找網絡系統安全漏洞的專業人士。
滲透測試 (penetration test)并沒有一個標準的定義,國外一些安全組織達成共識的通用說法是:滲透測試是通過模擬惡意**的攻擊方法,來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析,這個分析是從一個攻擊者可能存在的位置來進行的,并且從這個位置有條件主動利用安全漏洞。
換句話來說,滲透測試是指滲透人員在不同的位置(比如從內網、從外網等位置)利用各種手段對某個特定網絡進行測試,以期發現和挖掘系統中存在的漏洞,然后輸出滲透測試報告,并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告,可以清晰知曉系統中存在的安全隱患和問題。
我們認為滲透測試還具有的兩個顯著特點是:滲透測試是一個漸進的并且逐步深入的過程。滲透測試是選擇不影響業務系統正常運行的攻擊方法進行的測試。
作為網絡安全防范的一種新技術,對于網絡安全組織具有實際應用**。但要找到一家合適的公司實施滲透測試并不容易。
-/gbadeeb/-
http://www.sohi.cc
