第4個秘訣:根據(jù)風(fēng)險(xiǎn)高低,進(jìn)行測試。

  進(jìn)行哪種類型的測試,應(yīng)取決于數(shù)據(jù)/應(yīng)用程序的價(jià)值。對于低風(fēng)險(xiǎn)資產(chǎn),定期的漏洞掃描無異于經(jīng)濟(jì)高效地利用資源。中等風(fēng)險(xiǎn)的資產(chǎn)可能需要結(jié)合漏洞掃描和手動的漏洞檢查。至于高風(fēng)險(xiǎn)資產(chǎn),應(yīng)進(jìn)行滲透測試,尋找可利用的漏洞。

  比如說,一所大型大學(xué)的安全主管說,他們已開始進(jìn)行滲透測試,以滿足PCI DSS的要求。一旦這項(xiàng)計(jì)劃落實(shí)到位,成了用于測試潛在攻擊者潛入大學(xué)系統(tǒng)的能力的典范。該大學(xué)將數(shù)據(jù)分為公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)、敏感數(shù)據(jù)和高度敏感數(shù)據(jù)這幾類。

  他說:“對于高度敏感的信息,我們進(jìn)行了滲透測試,遵守幾乎與PCI一樣的準(zhǔn)則。我們在此基礎(chǔ)上深入了一步,根據(jù)一些具體的標(biāo)準(zhǔn)和一些主觀判斷,看看要對系統(tǒng)進(jìn)行哪種級別的滲透測試??如果需要滲透測試的話!

  比如說,對于風(fēng)險(xiǎn)比較低的信息,該大學(xué)將測試隨機(jī)抽選的系統(tǒng)及/或應(yīng)用程序,具體要看時(shí)間和預(yù)算的緊張程度。由于校園網(wǎng)絡(luò)上有幾千個設(shè)備,即便對它們都進(jìn)行低級掃描也是行不通的。

  這名安全主管說:“你可以測試有明確所有者和系統(tǒng)管理員的業(yè)務(wù)系統(tǒng)。但是如果你有3000臺Wii連接到網(wǎng)絡(luò)上,你不應(yīng)該掃描那些設(shè)備、弄清楚它們分別屬于誰!

  第5個秘訣:了解攻擊者的概況。

  你的滲透測試人員在想法和行為上都要與真正的攻擊者無異。但攻擊者不屬于好人這一類。要了解潛在攻擊者的概況。

  外部攻擊者對貴公司可能所知甚少,可能知道一些IP地址。但他們可能是前任員工,或者效力于貴公司的合作伙伴或服務(wù)提供商,所以對你網(wǎng)絡(luò)的內(nèi)部情況相當(dāng)了解。內(nèi)部攻擊者可能是擁有訪問和授權(quán)特權(quán)的系統(tǒng)管理員或數(shù)據(jù)庫管理員,知道關(guān)鍵數(shù)據(jù)在什么地方。

  了解攻擊者概況時(shí)要考慮的一個因素是動機(jī)。攻擊者覬覦的是可以變成現(xiàn)金的信用卡號碼和個人身份信息?還是可以賣給競爭對手或獲得商業(yè)優(yōu)勢的知識產(chǎn)權(quán)?攻擊者想破壞你的Web應(yīng)用程序,可能出于政治目的或競爭目的。他可能是怒氣沖沖的前任員工,想“對貴公司進(jìn)行報(bào)復(fù)”。

  應(yīng)該與業(yè)務(wù)負(fù)責(zé)人合作,幫助了解這些概況,打探哪些類型的潛在攻擊者是他們感到擔(dān)心的。

  概況可以縮小滲透測試的關(guān)注范圍;測試內(nèi)容會不一樣,具體取決于每一種攻擊者概況。

  Core Security公司的Solino說:“我們基本了解了某個攻擊者會對目標(biāo)搞什么破壞,對此我們分得很清楚。針對每一種概況,我們獲得滲透測試的結(jié)果,然后再了解另一種概況!

  第6個秘訣:掌握的信息越多越好。

  無論是實(shí)際攻擊,還是滲透測試,收集信息都是整個過程的一個部分,旨在查找諸設(shè)備、操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫等。你對某個目標(biāo)及與它連接的系統(tǒng)了解越多,潛入進(jìn)去的可能性越大。

  每一步都可能會得到有價(jià)值的信息,以便你攻擊另一個資產(chǎn),直到終進(jìn)入你瞄準(zhǔn)的數(shù)據(jù)庫和文件共享區(qū)等目標(biāo)。獲得的信息讓你可以縮小搜索可利用漏洞的范圍。通?梢允褂米詣踊膾呙韬屠L圖工具,來進(jìn)行這種偵察;但你也可以使用社會工程學(xué)方法,比如在電話一頭冒充技術(shù)支持人員或承包商,收集有價(jià)值的信息。

  Verizon公司的Khawaja說:“我們越來越多地開始采用社會工程學(xué)方法。這實(shí)際上是一種偵察手段(在客戶許可的情況下進(jìn)行),讓我們得以在環(huán)境中找到可以幫助我們潛入進(jìn)去的每個薄弱環(huán)節(jié)!

  多階段的滲透測試通常是重復(fù)進(jìn)行偵察、評估漏洞和利用漏洞,每一步都為你提供更深入地滲透到網(wǎng)絡(luò)的信息。