如何選擇滲透測(cè)試人員

  問:選擇滲透測(cè)試員有什么標(biāo)準(zhǔn)?

  答:滲透測(cè)試的目標(biāo)不僅是要評(píng)估電腦系統(tǒng)或者網(wǎng)絡(luò)的安全性,還要決定成功攻擊的可行性和商業(yè)影響。這樣的測(cè)試模仿企圖利用你的企業(yè)系統(tǒng)中的潛在的漏洞的攻擊者。發(fā)現(xiàn)的任何安全問題隨后都要報(bào)告,一起報(bào)告的還有對(duì)他們可能產(chǎn)生的影響的評(píng)估。建議還要指出如果減輕這些問題。通常這些測(cè)試都是在系統(tǒng)或者應(yīng)用使用之前進(jìn)行的。然后測(cè)試會(huì)定期進(jìn)行。

  在選擇滲透測(cè)試員之前,需要正確地確定你想要測(cè)試哪些系統(tǒng)。例如,測(cè)試Unix系統(tǒng)的專家可能不是測(cè)試Windows系統(tǒng)的專家。一旦決定了要測(cè)試的系統(tǒng),向其他公司的同事詢問做過類似工作的人的資料。相比較滲透測(cè)試證書而言,我更喜歡這種方法,因?yàn)樵谶@個(gè)領(lǐng)域還沒有真正的行業(yè)標(biāo)準(zhǔn)。

  我也不會(huì)總是關(guān)注的咨詢?nèi)藛T。這些咨詢?nèi)藛T通常都是通才,而滲透測(cè)試是專業(yè)工作。不管你會(huì)用誰,都要保證當(dāng)簽訂合同時(shí),來的人不是生手。

  還應(yīng)該了解滲透潛在的測(cè)試人員喜歡使用的方法。執(zhí)行滲透測(cè)試的好方法是進(jìn)行一系列系統(tǒng)的可以重復(fù)的測(cè)試,可以對(duì)很多不同種類的漏洞進(jìn)行測(cè)試,避免使用效率較低的分散的方式。但是還是要謹(jǐn)慎對(duì)待檢查清單的方法,并且不能過度依賴自動(dòng)化工具。這種類型的結(jié)果更像是漏洞掃描而不是全面的滲透測(cè)試。滲透測(cè)試并不是精密科學(xué),所以測(cè)試人員要在探究關(guān)注的領(lǐng)域時(shí)非常靈活,并對(duì)新的阻力進(jìn)行追蹤。這樣,測(cè)試可以關(guān)注你的環(huán)境中的攻擊攜帶者。

  如果決定了讓誰進(jìn)行測(cè)試,要確保他們有時(shí)間進(jìn)行徹底的評(píng)估。緊迫的時(shí)間限制會(huì)迫使測(cè)試人員跳過某些涉及到的問題。有一點(diǎn)很重要,他們要不斷把發(fā)現(xiàn)的結(jié)果、測(cè)試完成后的終報(bào)告細(xì)節(jié)、關(guān)鍵的發(fā)現(xiàn)和建議通知你。記住這些報(bào)告是你付了錢所購(gòu)買的,而且你需要找時(shí)間何測(cè)試人員進(jìn)行討論。如果你在選擇測(cè)試人員的時(shí)候很著急,那么不僅會(huì)造成資金的浪費(fèi),而且你收到的報(bào)告會(huì)讓企業(yè)造成誤解,對(duì)安全做出錯(cuò)誤判斷。

  漏洞分析新工具: RE:trace

  兩名安全工程師在上周推出一種基于Ruby的新framework,能夠發(fā)現(xiàn)和攻擊在OS X、Unix和其他操作系統(tǒng)上運(yùn)行的常見應(yīng)用軟件存在的漏洞。

  這個(gè)新的framework叫做“RE:trace”,它利用蘋果公司Leopard操作系統(tǒng)中的DTrace性能監(jiān)控工具,為安全專家和逆向工程師提供了同時(shí)在堆棧和堆發(fā)現(xiàn)漏洞的能力,然后運(yùn)行各種有趣的測(cè)試。DTrace是由Sun Microsystems開發(fā)的,初是想幫助應(yīng)用軟件和操作系統(tǒng)進(jìn)行疑難問題解決,但安全專家也將它運(yùn)用在其他工作任務(wù)的用途上。

  在華盛頓的黑帽大會(huì)上,高級(jí)安全工程師Tiller Beauchamp和安全工程師David Weston演示了如何使用RE:trace。它基于DTrace,不僅可以發(fā)現(xiàn)堆和堆棧溢出漏洞,還可以檢測(cè)到緩沖區(qū)溢出,并在溢出對(duì)存在漏洞的軟件造成真正的崩潰前,加以阻止。當(dāng)數(shù)據(jù)在某給定應(yīng)用軟件中流通時(shí),該framework還可以讓用戶對(duì)該數(shù)據(jù)進(jìn)行追蹤。

  “花在漏洞分析的時(shí)間大大減少!盬eston說。

  DTrace是在內(nèi)核中運(yùn)行的,這樣可以易于訪問整個(gè)操作系統(tǒng),Weston說。由于它具有的特性廣泛,本質(zhì)上而言,它是一個(gè)“友好的、可編程的rootkit”。但是DTrace不是特意作為逆向工程工具而編寫的,所以它不包括逆向工程師可能需要的便利工具。所以Weston和Beauchamp通過使用Ruby語(yǔ)言,增加了特性,包括用面向?qū)ο蟮姆绞皆趦?nèi)存和追蹤應(yīng)用軟件中dump搜索的能力。

  RE:trace還為用戶提供了所查看的應(yīng)用軟件正在發(fā)生什么的反饋信息。比如,framework能夠告訴用戶誰分配了某字節(jié)的內(nèi)存;誰使用了它;在一次攻擊中,有多少的內(nèi)存溢出;是否內(nèi)存曾被釋放。

  Weston和Beauchamp計(jì)劃繼續(xù)開發(fā)RE:trace,并將在接下來的幾個(gè)月內(nèi)增加更多的特性和功能。