滲透測試旨在證明,網絡防御機制的運行與你認為的一樣良好。往往系統和網絡管理員視審查人員或滲透人員為敵人,但實際上他們卻是朋友。到位的滲透測試可以證明你的防御確實有效,或者查出問題,幫助你阻擋未來攻擊。出錢請自己知道的人來發現網絡中的漏洞,總比讓自己不知道的人發現漏洞好得多。
測試方法
有些滲透測試人員通過使用兩套掃描器進行安全評估。這些工具至少能夠使整個過程實現部分自動化,這樣,技術嫻熟的專業人員就可以專注于所發現的問題。如果探查得較深入,則需要連接到任何可疑服務,某些情況下,還要利用漏洞。
商用漏洞掃描工具在實際應用中存在一個重要的問題:如果它所做的測試未能獲得肯定答案,許多產品往往會隱藏測試結果。譬如,有一款**掃描器就存在這樣的缺點:要是它無法進入Cisco路由器,或者無法用SNMP獲得其軟件版本號,它就不會做出這樣的警告:該路由器*受到某些拒絕服務(DoS)攻擊。如果不知道掃描器隱藏了某些信息(譬如它無法對某種漏洞進行測試),你可能誤以為網絡是安全的,而實際上,網絡的安全狀況可能是危險的。
除了找到合適工具以及具備資質的組織進行滲透測試外,還應該準確確定測試范圍。攻擊者會借助社會工程學、偷竊、賄賂或者破門而入等手法,獲得有關信息。真正的攻擊者是不會僅僅滿足于攻擊某個企業網絡的。通過該網絡再攻擊其它公司往往是**的慣用伎倆。攻擊者甚至會通過這種方法進入企業的ISP。
為了從滲透測試上獲得*大**,應該向測試組織提供盡可能詳細的信息。這些組織同時會簽署保密協議,這樣,你就可以較放心地共享策略、程序及有關網絡的其它關鍵信息。
專業服務
滲透測試有時是作為外部審查的一部分而進行的。這種測試需要探查系統,以發現操作系統和任何網絡服務,并檢查這些網絡服務有無漏洞。你可以用漏洞掃描器完成這些任務,但往往專業人士用的是不同的工具,而且他們比較熟悉這類替代性工具。
滲透測試的作用一方面在于,解釋所用工具在探查過程中所得到的結果。只要手頭有漏洞掃描器,誰都可以利用這種工具探查*墻或者是網絡的某些部分。但很少有人能全面地了解漏洞掃描器得到的結果,較別提另外進行測試,并證實漏洞掃描器所得報告的準確性了。
打一個比方來解釋滲透測試的必要性。假設你要修建一座金庫,并且你按照建設規范將金庫建好了。此時是否就可以將金庫立即投入使用呢?肯定不是!因為還不清楚整個金庫系統的安全性如何,是否能夠確保存放在金庫的貴重東西萬無一失。那么此時該如何做?可以請一些行業中安全方面的*對這個金庫進行全面檢測和評估,比如檢查金庫門是否*被破壞,檢查金庫的報警系統是否在異常出現的時候及時報警,檢查所有的門、窗、通道等重點易突破的部位是否牢不可破,檢查金庫的管理安全制度、視頻安防監控系統、出入口控制等等。甚至會請專人模擬入侵金庫,驗證金庫的實際安全性,期望發現存在的問題。 這個過程就好比是對金庫的滲透測試。這里金庫就像是我們的信息系統,各種測試、檢查、模擬入侵就是滲透測試。
如今,大多數攻擊進行的是*基本的漏洞掃描,如果攻擊得逞,目標就岌岌可危。如果攻擊者企圖對你站點進行漏洞掃描,他就會獲得大量的*墻日志消息,而監控網絡的任何入侵檢測系統(IDS)也會開始發送有關當前攻擊的警報。如果你還沒有試過,不妨利用漏洞掃描器結合IDS對網絡來一番試驗。別忘了首先獲得對方的許可,因為,運行漏洞掃描器會使IDS引發警報。
滲透測試也許是你的網絡防御工具箱當中的重要武器之一。應該視之為各種安全審查的一部分,但要確保審查人員勝任這項工作。
也許你可能還是有疑問:我定期較新安全策略和程序,時時給系統打補丁,并采用了安全軟件,以確保所有補丁都已打上,還需要滲透測試嗎?需要!這些措施就好像是金庫建設時的金庫建設規范要求,你按照要求來建設并不表示可以高枕**。而請專業滲透測試人員(一般來自外部的專業安全服務公司)進行審查或滲透測試就好像是金庫建設后的安全檢測、評估和模擬入侵演習,來獨立地檢查你的網絡安全策略和安全狀態是否達到了期望。滲透測試能夠通過識別安全問題來幫助了解當前的安全狀況。到位的滲透測試可以證明你的防御確實有效,或者查出問題,幫助你阻擋可能潛在的攻擊。提前發現網絡中的漏洞,并進行必要的修補,就像是未雨綢繆;而被其他人發現漏洞并利用漏洞攻擊系統,發生安全事故后的補救,就像是亡羊補牢。很明顯未雨綢繆勝過亡羊補牢。
滲透測試能夠通過識別安全問題來幫助一個單位理解當前的安全狀況。這使促使許多單位開發操作規劃來減少攻擊或誤用的威脅。
撰寫良好的滲透測試結果可以幫助管理人員建立可靠的商業案例,以便證明所增加的安全性預算或者將安全性問題傳達到**管理層。
-/gbadeeb/-
http://www.sohi.cc
