第7個(gè)秘訣:考慮所有攻擊途徑。

  攻擊者能利用而且會(huì)利用IT基礎(chǔ)設(shè)施不同方面的漏洞,或單槍匹馬,或合伙行動(dòng)(后者更常見),以便獲得他們尋找的數(shù)據(jù)。

  全面深入的滲透測(cè)試會(huì)根據(jù)攻擊者的終目的,而不是根據(jù)每個(gè)攻擊途徑的脆弱性,逐一測(cè)試所有這些潛在的攻擊途徑。

  Solino說:“要是幾年前,我們會(huì)進(jìn)行網(wǎng)絡(luò)滲透測(cè)試、應(yīng)用滲透測(cè)試和無線滲透測(cè)試;后來我們退一步說‘這么做毫無意義’。壞人才不說‘我只能通過網(wǎng)絡(luò)闖入到系統(tǒng)’!

  成功的滲透測(cè)試與真實(shí)的攻擊一樣,可能會(huì)用到許多途徑,涉及好多步驟,直到發(fā)現(xiàn)有空子可鉆的目標(biāo)。一臺(tái)打印服務(wù)器似乎不是特別值得關(guān)注,但它可能使用與含有信用卡資料的數(shù)據(jù)庫同樣的管理員登錄信息。

  InGuardians公司的Skoudis說:“滲透測(cè)試人員找到漏洞后鉆空子,然后從這臺(tái)機(jī)器跳轉(zhuǎn)到另一臺(tái)機(jī)器,再跳轉(zhuǎn)到下一臺(tái)機(jī)器!

  對(duì)Web應(yīng)用程序發(fā)動(dòng)攻擊后可能鉆不了空子,但得到的信息有助于利用網(wǎng)絡(luò)上其他資產(chǎn)的漏洞。或者,攻擊者可能會(huì)獲得沒有很高權(quán)限,但可以訪問內(nèi)部網(wǎng)絡(luò)的員工方面的信息,然后以此作為跳板。

  所以,某個(gè)關(guān)鍵資源也許無法直接下手,但可能會(huì)因其他系統(tǒng)來受到危及。

  Khawaja表示,比如說,Verizon公司的滲透測(cè)試人員無法直接闖入可以訪問敏感數(shù)據(jù)庫的Web服務(wù)器。如果測(cè)試人員的目光局限于測(cè)試這臺(tái)服務(wù)器上的Web應(yīng)用程序,那么得出的結(jié)論會(huì)是:數(shù)據(jù)是安全的。但如果站在以數(shù)據(jù)為中心的角度,他們會(huì)發(fā)現(xiàn)與這臺(tái)Web服務(wù)器連接的第二臺(tái)Web服務(wù)器有一個(gè)重大漏洞,攻擊者可以利用該漏洞來訪問第一臺(tái)Web服務(wù)器,進(jìn)而訪問那個(gè)敏感數(shù)據(jù)庫。

  他說:“只要與我們?cè)诠舻木W(wǎng)段沒有隔離開來的系統(tǒng),我們都關(guān)注。有沒有任何網(wǎng)絡(luò)控制措施來防止攻擊者從一個(gè)易受攻擊的低價(jià)值系統(tǒng)跳轉(zhuǎn)到一個(gè)比較關(guān)鍵的系統(tǒng)?”

  話雖如此,還是有必要針對(duì)特定的攻擊途徑進(jìn)行測(cè)試。比如說,一家公司可能特別擔(dān)心無線安全,因?yàn)樗乐白约涸谶@方面有些松懈,或者可能近安裝或升級(jí)了無線局域網(wǎng)基礎(chǔ)設(shè)施。但是算你確信某一個(gè)途徑很安全??比如說,如果無線網(wǎng)絡(luò)與信用卡數(shù)據(jù)庫隔離開來,也不要太肯定。因?yàn),攻擊途徑可能錯(cuò)綜復(fù)雜。

  第8個(gè)秘訣:確定交戰(zhàn)規(guī)則。

  滲透測(cè)試模擬攻擊行為,但它不是一種攻擊。無論你在內(nèi)部進(jìn)行測(cè)試,還是交由外部顧問測(cè)試,都需要制定規(guī)則,確定什么可以做,什么不可以做,什么時(shí)候做,誰需要知道內(nèi)情。

  后者取決于你在進(jìn)行白盒測(cè)試(white box testing),還是黑盒測(cè)試(black box testing。若是前一種情況,可能要承認(rèn)這一點(diǎn):公司(或者某個(gè)部門或業(yè)務(wù)單位)的安全計(jì)劃需要大量工作,而且滲透測(cè)試是各有關(guān)方都知道的公開過程。

  另一方面,黑盒測(cè)試顯得比較秘密,測(cè)試起來更像是真正的攻擊??只有參與測(cè)試的人知道內(nèi)情,外人完全不知道。你要確定公司的員工多稱職、流程及其支持系統(tǒng)的效果有多好。

  Verizon公司的Khawaja說:“無論是運(yùn)營(yíng)中心、調(diào)查響應(yīng)團(tuán)隊(duì)還是保安人員,每個(gè)人都要裝作滲透測(cè)試的那天是辦公室的平常!

  許多公司通常會(huì)先進(jìn)行白盒測(cè)試,了解要解決的安全問題。隨后,黑盒測(cè)試將有助于確定初發(fā)現(xiàn)的漏洞是不是得到了有效補(bǔ)救。比如說,有時(shí)首席安全官不但需要知道關(guān)鍵系統(tǒng)有多脆弱,還需要了解下屬在檢測(cè)和響應(yīng)攻擊方面的能力有多強(qiáng)。

  不管怎樣,要把情況告知某些關(guān)鍵的人,避免出現(xiàn)可能影響業(yè)務(wù)或破壞測(cè)試的問題。InGuardians公司的Skoudis表示,目標(biāo)環(huán)境中負(fù)責(zé)變更控制流程的人當(dāng)中至少一人要了解內(nèi)情。比如說,按照交戰(zhàn)規(guī)則(rules of engagement),公司可以允許滲透測(cè)試人員將軟件安裝到目標(biāo)設(shè)備上,進(jìn)行更深入的跳轉(zhuǎn)測(cè)試,但至少要告知那個(gè)人,確保測(cè)試人員不會(huì)因?yàn)閺穆酚善鞯脑L問控制列表(ACL)刪掉IP地址,或運(yùn)用防火墻規(guī)則而遭到阻止。

  在白盒測(cè)試和黑盒測(cè)試這兩種場(chǎng)景下,Skoudis建議每天與測(cè)試的相關(guān)人員開簡(jiǎn)會(huì),讓他們知道測(cè)試人員在做什么。比如說,交戰(zhàn)規(guī)則可能允許滲透測(cè)試人員利用漏洞,但開簡(jiǎn)會(huì)能起到提醒作用,好讓大家心里有數(shù)。

  他說:“開簡(jiǎn)會(huì)起到了溝通作用。它表明滲透測(cè)試人員不是外面‘來抓我’的一幫壞人。目的是做到透明、公開!