其次,網(wǎng)絡(luò)滲透測(cè)試的錯(cuò)誤實(shí)施可能會(huì)對(duì)公司網(wǎng)絡(luò)的穩(wěn)定性帶來(lái)可怕的后果。舉例來(lái)說(shuō),入侵者(包括白帽和黑帽黑客)所使用的某些工具軟件其設(shè)計(jì)的目的是探測(cè)某個(gè)網(wǎng)絡(luò)中存在的安全漏洞。對(duì)于某些安全漏洞,尤其是拒絕服務(wù)(DoS)漏洞而言,在未進(jìn)行測(cè)試之前是很難斷言某個(gè)系統(tǒng)是否存在這些漏洞的。因此,我們只能使用一些工具來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。如果遭受攻擊之后系統(tǒng)仍然能夠正常響應(yīng),那么它沒(méi)有漏洞!對(duì)某個(gè)辦公網(wǎng)絡(luò)錯(cuò)誤地使用這類(lèi)工具,可能帶來(lái)的影響是非常迅速地讓整個(gè)網(wǎng)絡(luò)無(wú)法正常工作。即使這樣的悲劇沒(méi)有發(fā)生,對(duì)某個(gè)系統(tǒng)使用攻擊工具和漏洞溢出程序也有可能造成誤傷,讓這一系統(tǒng)甚至整個(gè)網(wǎng)絡(luò)變得不穩(wěn)定,或者是造成其他無(wú)意的不良后果。作為一名網(wǎng)絡(luò)安全專(zhuān)家,他應(yīng)當(dāng)了解在何處劃定一條線(xiàn),使他能夠?qū)W(wǎng)絡(luò)進(jìn)行某種程度的攻擊而不對(duì)它造成破壞,反之,一名網(wǎng)絡(luò)安全的業(yè)余愛(ài)好者通常不會(huì)考慮到這些因素。

  第三,網(wǎng)絡(luò)滲透測(cè)試需要專(zhuān)門(mén)的工具軟件,在很多情況下,這些工具并非可以隨處找到。盡管某些系統(tǒng)管理員完全具備編寫(xiě)這些工具的能力,但是通常說(shuō)來(lái),將用于編寫(xiě)工具的時(shí)間花在保護(hù)網(wǎng)絡(luò)上面效果會(huì)更好。

  第四,網(wǎng)絡(luò)滲透測(cè)試中為關(guān)鍵的部分??編寫(xiě)測(cè)試結(jié)果報(bào)告,實(shí)際上是極其枯燥乏味的。在后面的敘述部分中,我們可以只注意對(duì)于攻擊描述的詳細(xì)程度是怎樣的。同時(shí)也請(qǐng)牢記在心,我們會(huì)故意將某些東西簡(jiǎn)化,以避免為如何進(jìn)攻一個(gè)網(wǎng)絡(luò)提供完整的指導(dǎo)。與之相反,要編寫(xiě)恰當(dāng)?shù)臐B透測(cè)試報(bào)告,滲透測(cè)試人員必須保留極為詳細(xì)的筆記,然后花費(fèi)幾個(gè)小時(shí)的時(shí)間來(lái)將它們合并成一份便于使用的文檔。測(cè)試報(bào)告必須足夠詳細(xì),使得其他人能夠理解攻擊過(guò)程,否則這一報(bào)告將不會(huì)有多少價(jià)值。

  以上幾點(diǎn)可以歸結(jié)為一句話(huà):盡管了解入侵者是如何操作的、他們所依賴(lài)的操作實(shí)踐類(lèi)型,以及他們采用的攻擊手段是非常關(guān)鍵的,但對(duì)于絕大多數(shù)的系統(tǒng)管理員及安全管理員來(lái)說(shuō),能夠?qū)嶋H地實(shí)施這些攻擊并非必需的。這如同欣賞藝術(shù)品一樣,與能夠創(chuàng)造它們相比是完全不同的要求。滲透測(cè)試是這樣的藝術(shù)品。我的建議是,把測(cè)試工作交給那些具備相應(yīng)技能、思維清晰并且有時(shí)間來(lái)學(xué)習(xí)如何有效進(jìn)行滲透的人。通常說(shuō)來(lái),這一任務(wù)好留給安全顧問(wèn)們,因?yàn)樗麄兙邆浼寄、工具、頭腦,所以你對(duì)網(wǎng)絡(luò)的預(yù)先了解并不會(huì)影響他們。我們可以在郵件列表里,或者新聞組上面同其他公司的同事進(jìn)行交談,并了解哪些人是真正的滲透測(cè)試顧問(wèn)。同樣要謹(jǐn)記在心的還有,應(yīng)用程序的滲透測(cè)試和網(wǎng)絡(luò)滲透測(cè)試是完全不同的兩種任務(wù)。原因很簡(jiǎn)單,那些能夠在某些特定軟件產(chǎn)品中發(fā)現(xiàn)安全漏洞的人,并不一定能夠?qū)嵤⿲?duì)一個(gè)網(wǎng)絡(luò)的滲透攻擊。如果你感興趣的是網(wǎng)絡(luò)滲透測(cè)試的話(huà),那么尋找那些專(zhuān)攻網(wǎng)絡(luò)滲透測(cè)試的公司。應(yīng)用程序的評(píng)估同樣是可以做到的,但這是另一種類(lèi)型的任務(wù),目標(biāo)不同,而且它主要是針對(duì)那些進(jìn)行內(nèi)部軟件開(kāi)發(fā)或使用定制軟件的公司。

  如果你在負(fù)責(zé)為一次滲透測(cè)試簽訂合同,那么你要留意的法律問(wèn)題是什么呢?首先也是重要的,我們強(qiáng)調(diào)再多次也不為過(guò):確保簽署這一滲透測(cè)試合同的人,具備授權(quán)某人入侵這一網(wǎng)絡(luò),也是授予“無(wú)罪釋放”令牌的權(quán)力。

  目前,有許多人之所以在監(jiān)獄服刑,是因?yàn)樗麄兦秩肓四切┧麄冊(cè)菊J(rèn)為自己有權(quán)侵入的系統(tǒng),然而不久之后他們認(rèn)識(shí)到,實(shí)際上他們并沒(méi)有這一權(quán)力。對(duì)于那些想找人來(lái)入侵某個(gè)他們無(wú)權(quán)進(jìn)入系統(tǒng)的人們,同樣的牢獄命運(yùn)也許等待著他們。

  其次,要確保你已經(jīng)具備了效力充分的不泄漏保證協(xié)議,而且這些安全顧問(wèn)將不會(huì)被允許保留任何公司的敏感信息,除非處于極其嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)之下。糟糕的事情莫過(guò)于,花錢(qián)雇傭一些人來(lái)入侵你的網(wǎng)絡(luò),后卻發(fā)現(xiàn)網(wǎng)絡(luò)的設(shè)計(jì)圖被某人記錄下來(lái),網(wǎng)絡(luò)的安全也隨后也被危及。而且,更危險(xiǎn)的是,這些人會(huì)利用公司的敏感信息并將其兜售給其他別有用心的人。

  再次,將這一測(cè)試報(bào)告視作一劑有益健康的“多疑癥注射劑”。當(dāng)這一報(bào)告來(lái)源于一次黑盒測(cè)試時(shí)(在測(cè)試中,測(cè)試人員不具備訪(fǎng)問(wèn)內(nèi)部信息的權(quán)力,例如源代碼和賬號(hào)列表),這一點(diǎn)尤其正確,因?yàn)檫@恰好展示了在沒(méi)有內(nèi)部信息的情況下入侵者所能實(shí)施的行為。安全管理員可能犯下的大錯(cuò)誤是假設(shè)一切都沒(méi)有問(wèn)題。

  后,請(qǐng)對(duì)“你的網(wǎng)絡(luò)是安全的”這類(lèi)近乎虛構(gòu)的報(bào)告結(jié)論保持警覺(jué)。這一情況出現(xiàn)的頻率高得令人擔(dān)憂(yōu),基于他們無(wú)法滲透進(jìn)入任何系統(tǒng)的事實(shí),安全顧問(wèn)會(huì)向你提交一份報(bào)告,其中宣稱(chēng)這一網(wǎng)絡(luò)是安全的。這并不意味著你的網(wǎng)絡(luò)的確是安全的。如果某一名滲透測(cè)試人員告訴你,你的網(wǎng)絡(luò)是安全的,那么他的這一番話(huà)只能表明他的能力不足以證明網(wǎng)絡(luò)是不安全的。你的網(wǎng)絡(luò)其實(shí)并不安全。它僅僅對(duì)那些滲透測(cè)試人員了解如何利用的漏洞或問(wèn)題有足夠的防護(hù)能力。合同中應(yīng)當(dāng)明確聲明,怎樣才能構(gòu)成一次成功的入侵,以及如果滲透測(cè)試人員無(wú)法完成一次入侵,酬金會(huì)減少多少。這里至關(guān)重要的一點(diǎn),漏洞分析工具的輸出結(jié)果并不能等同于一次網(wǎng)絡(luò)滲透測(cè)試。