測試方法
有些滲透測試人員通過使用兩套掃描器進行安全評估。這些工具至少能夠使整個過程實現部分自動化,這樣,技術嫻熟的專業人員就可以專注于所發現的問題。如果探查得較深入,則需要連接到任何可疑服務,某些情況下,還要利用漏洞。
商用漏洞掃描工具在實際應用中存在一個重要的問題:如果它所做的測試未能獲得肯定答案,許多產品往往會隱藏測試結果。譬如,有一款**掃描器就存在這樣的缺點:要是它無法進入Cisco路由器,或者無法用SNMP獲得其軟件版本號,它就不會做出這樣的警告:該路由器*受到某些拒絕服務(DoS)攻擊。如果不知道掃描器隱藏了某些信息(譬如它無法對某種漏洞進行測試),你可能誤以為網絡是安全的,而實際上,網絡的安全狀況可能是危險的。
除了找到合適工具以及具備資質的組織進行滲透測試外,還應該準確確定測試范圍。攻擊者會借助社會工程學、偷竊、賄賂或者破門而入等手法,獲得有關信息。真正的攻擊者是不會僅僅滿足于攻擊某個企業網絡的。通過該網絡再攻擊其它公司往往是**的慣用伎倆。攻擊者甚至會通過這種方法進入企業的ISP。
有關滲透測試的合同或工作說明應該包括你從所得報告中想要獲得的各個方面。如果你請人進行有限的測試,得到的只是計算機生成的報告。而滲透測試的真正**在于由報告所**出的分析。進行測試的一方會詳細介紹發現結果,并說明其重要性。在有的地方,測試人員還會提議采取何種補救方法,譬如較新服務器、禁用網絡服務、改變*墻規則等等。
安全性不是某時刻的解決方案,而是需要嚴格評估的一個過程。安全性措施需要進行定期檢查,才能發現新的威脅。滲透測試和公正的安全性分析可以使許多單位重視他們*需要的內部安全資源。此外,獨立的安全審計也正*成為獲得網絡安全保險的一個要求。
現在符合規范和法律要求也是執行業務的一個必要條件,滲透測試工具可以幫助許多單位滿足這些規范要求。
啟動一個企業電子化項目的**目標之一,是實現與戰略伙伴、提供商、客戶和其他電子化相關人員的緊密協作。要實現這個目標,許多單位有時會允許合作伙伴、提供商、B2B 交易中心、客戶和其他相關人員使用可信連接方式來訪問他們的網絡。一個良好執行的滲透測試和安全性審計可以幫助許多單位發現這個復雜結構中的*脆弱鏈路,并保證所有連接的實體都擁有標準的安全性基線。
當擁有安全性實踐和基礎架構,滲透測試會對商業措施之間的反饋實施重要的驗證,同時提供了一個以*小風險而成功實現的安全性框架。
如今,大多數攻擊進行的是*基本的漏洞掃描,如果攻擊得逞,目標就岌岌可危。如果攻擊者企圖對你站點進行漏洞掃描,他就會獲得大量的*墻日志消息,而監控網絡的任何入侵檢測系統(IDS)也會開始發送有關當前攻擊的警報。如果你還沒有試過,不妨利用漏洞掃描器結合IDS對網絡來一番試驗。別忘了首先獲得對方的許可,因為,運行漏洞掃描器會使IDS引發警報。
你還應該制訂測試準則,譬如說:滲透測試人員可以探查漏洞并進行測試,但不得利用,因為這可能會危及到你想要保護的系統。
滲透測試旨在證明,網絡防御機制的運行與你認為的一樣良好。往往系統和網絡管理員視審查人員或滲透人員為敵人,但實際上他們卻是朋友。到位的滲透測試可以證明你的防御確實有效,或者查出問題,幫助你阻擋未來攻擊。出錢請自己知道的人來發現網絡中的漏洞,總比讓自己不知道的人發現漏洞好得多。
滲透測試也許是你的網絡防御工具箱當中的重要武器之一。應該視之為各種安全審查的一部分,但要確保審查人員勝任這項工作。
-/gbadeeb/-
http://www.sohi.cc
