社會(huì)工程測(cè)試應(yīng)該包含在滲透測(cè)試中嗎?

  問:社會(huì)工程應(yīng)該是滲透測(cè)試的一部分嗎?這樣做是道德的嗎?

  答:這個(gè)問題的答案還在爭(zhēng)論之中。以下盡量不偏頗地列出對(duì)這個(gè)尷尬問題的雙方的觀點(diǎn)。然后,我會(huì)談一下我的意見。

  有些安全專家堅(jiān)決認(rèn)為社會(huì)工廠測(cè)試不應(yīng)該成為滲透測(cè)試的一部分。原因是安全人員需要對(duì)企業(yè)的所有員工都非常信任。

  如果沒有這種信任,這些員工可能會(huì)忽視在滲透測(cè)試中的社會(huì)工程演習(xí)一部分的欺騙他們的人提出的建議。更糟的是,在這種測(cè)試中發(fā)現(xiàn)的缺乏良好的安全實(shí)踐的員工可能會(huì)被動(dòng)或者主動(dòng)地破壞他們的安全主動(dòng)性,并對(duì)整個(gè)企業(yè)的安全狀況的改善帶來不利影響。

  在這個(gè)問題的另一個(gè)方面,有些人認(rèn)為確保員工理解并遵守安全實(shí)踐至關(guān)重要,不必企業(yè)的技術(shù)結(jié)構(gòu)和配置的重要性低。即使有完美的安全技術(shù)(而這是不存在的),不遵守可靠的安全實(shí)踐的用戶可能會(huì)破壞整個(gè)企業(yè)。而且如果員工的做法沒有標(biāo)準(zhǔn),如何決定他們是不是合適呢?好的安全測(cè)量的方法之一是對(duì)目標(biāo)企業(yè)進(jìn)行等級(jí)式的社會(huì)工程攻擊,來看看他們?nèi)绾畏磻?yīng)。這樣的測(cè)試對(duì)員工的行為必調(diào)查或者測(cè)驗(yàn)有了更好的實(shí)際的了解,在調(diào)查或者測(cè)驗(yàn)中,員工的反應(yīng)總是像他們是模范市民。

  雖然我對(duì)雙方的觀點(diǎn)都很尊重,但是我更贊同第二種觀點(diǎn)。社會(huì)工程測(cè)試具有很高的啟迪作用,可以揭示目標(biāo)企業(yè)的安全意識(shí)中的不足。具體的發(fā)現(xiàn)可以幫助企業(yè)以更快更劃算的方式建立更好的安全意識(shí)。但是,這樣的測(cè)試的進(jìn)行必須要極端關(guān)注和專業(yè)精神。在開始任何社會(huì)工程測(cè)試之前,都要確定:

  ◆ 列出測(cè)試的內(nèi)容,并創(chuàng)建具體的測(cè)試假象腳本。

  ◆ 確定管理層預(yù)先同意在后的報(bào)告中不提及具體的員工姓名,測(cè)試應(yīng)該關(guān)注確定企業(yè)中的漏洞,以及對(duì)員工整體改善的建議,而不是查找有問題的個(gè)人。

  ◆ 記錄測(cè)試中的所有的交互動(dòng)作,但是不再后的報(bào)告中包括員工姓名。

  ◆ 考慮企業(yè)是否具有管理這種測(cè)試的專業(yè)技術(shù),或者還是應(yīng)該雇傭第三方。

  零了解滲透測(cè)試的贊成和反對(duì)理由是什么?

  問:如果測(cè)試人員不了解要進(jìn)行滲透測(cè)試網(wǎng)站,贊成和反對(duì)的理由是什么?在理想狀態(tài)下,測(cè)試人員應(yīng)該是什么也不知道嗎(為了更好的模仿攻擊者的思維模式)?

  答:對(duì)網(wǎng)站的滲透測(cè)試環(huán)境的零了解意味著滲透測(cè)試人員被告知很少的目標(biāo)信息,可能只有它的URL,因此可以模仿真實(shí)的攻擊者。

  雖然對(duì)于預(yù)算和辦公室政治的環(huán)境很有幫助,可以向老板提交報(bào)告證明即使不了解新網(wǎng)站的人也可以入侵進(jìn)入,但是我對(duì)零了解的方法還有一些保留意見。我們知道一定百分比的攻擊時(shí)來去網(wǎng)絡(luò)邊界內(nèi)部的,或者來自有內(nèi)部幫助的外部。如果你想要知道你的網(wǎng)站在所有現(xiàn)實(shí)情景中是否安全,零了解不是必須的好出發(fā)點(diǎn)。

  零了解的方法也有潛在的缺點(diǎn),它返回結(jié)果比較慢。如果預(yù)先對(duì)測(cè)試人員介紹了系統(tǒng)的某些基礎(chǔ),會(huì)節(jié)省時(shí)間,而在產(chǎn)品生產(chǎn)的時(shí)候,時(shí)間通常是緊張的。這里重要的變數(shù)之一是目標(biāo)的狀態(tài):是在生產(chǎn)還是在開發(fā)?當(dāng)測(cè)試產(chǎn)品系統(tǒng)的時(shí)候,你可能想要測(cè)試人員讓你盡快了解所發(fā)現(xiàn)的漏洞,而不是等后的報(bào)告。假設(shè)和測(cè)試人員的合同寫的很合適,你可能可以個(gè)給漏洞打補(bǔ)丁,并測(cè)試補(bǔ)丁。當(dāng)然,有人會(huì)說把滲透測(cè)試人員作為安全的改進(jìn)人員可以花少錢得到大的效果。

  后,不管你是否選擇從零了解出發(fā),記住在不觸犯法律的情況下你不可能真正的復(fù)制現(xiàn)實(shí)世界。你必須假定你的攻擊者準(zhǔn)備好了犯法來完成他們的目標(biāo),但是很多企業(yè)可以給滲透測(cè)試人員免死金牌。所以,你想要你的滲透測(cè)試人員可以和犯罪黑客一樣思考,并把非法滲透到系統(tǒng)的方法寫下來給你。

  底線是現(xiàn)實(shí)世界和滲透測(cè)試是兩個(gè)不同的事情。如果有安全專家定期對(duì)產(chǎn)品中的潛在漏洞進(jìn)行測(cè)試,而安全專家完全了解產(chǎn)品,而不是設(shè)置不現(xiàn)實(shí)的測(cè)試情景,你的安全資金可以以好的方式支出。