渗透测试的解释:

  安全诊断主要有三种类型:渗透测试、审计和评估(被不同地描述为评估和风险评估)。单独使用任何一种测试都不可以很好的进行。在测量系统安全的时候,必须要在合适的时间执行合适的测试。还有一点非常重要,是所选择的测试要基于企业的需要,而不是测试者(不管他们是内部员工还是外来的咨询人员)的技术(或者因为对技术的缺乏)。

  渗透测试:

  渗透测试的名声响,因为每个人都听说过,而且“知道”渗透测试是专家用于确保系统安全的。渗透测试目前很有吸引了,但是却是在大部分情况下使用少得系统诊断方法。

  先说重要的事情:正确执行的渗透测试是秘密的测试,其中由咨询人员或者内部人员扮演恶意攻击者,攻击系统的安全性。因为终目的是渗透,这种测试不会发出警告,完全保密(当然,上层管理人员同意进行测试并且理解秘密的要求)。理想的是,应该没有来自企业的支持……或者,大限度的是指出哪些是渗透测试团队应该避免的。很显然,如果企业外包了渗透测试,客户应该让咨询者知道具体的目的是什么。测试可以设计为模仿内部或者外部的攻击。它可以技术性的,也可以是非技术性的(例如,测试者可以使用社交工程师的方式进入网络)。在目标企业中,只能有一部分人知道测试。测试的关键的一方面是看企业是否能检测到渗透企图。处于这个原因,批准正式回应的人应该也被包括进去。

  现在,为什么渗透测试不如它说明的那么有用?因为它的目标是攻击安全。为了这么做,这个团队要鉴别可能的漏洞,重点是那些他们认为会产生结果,而不太可能被检测到的(从黑客的角度)。在这一点上,客户可以看到对这些漏洞的攻击可以产生什么样的破坏。但是,在运行测试的时候,测试员不会发现所有的漏洞,甚至不能确定测试可能检测到的所有漏洞的存在。渗透测试所能够证明的是系统可以被攻击。它不能对每一个漏洞进行记录,只能是那些在测试中被利用的漏洞。所以,虽软渗透测试可以推断出其他问题,但是任何渗透测试员都不能说已经鉴别到了客户的所有安全问题??或者甚至是大部分。

  那么,渗透测试有什么作用呢?处于各种内部原因,有些企业需要有说服力的论据说明不充分的安全可能导致重大损失。执行情况良好的渗透测试当然可以证明。为了从业务的角度使渗透测试起作用,企业价值可能的损失必须要强有力的并生动的证明出来,要超出企业的电脑被攻击的事实。

  有时,应该进行秘密渗透测试,看看安全策略是否被遵守了。虽然公开的测试也可以调查人们是否遵守了策略,但是在不知道被监视的时候人们会有不同的表现,这是人类的天性。例如,XYZ公司的安全策略禁止终端用户在电话中泄露密码,除非他们自己主动打电话到服务台。很明显,如果外部的咨询人员走到终端用户那里,并问:“你有没有把你的密码告诉过你不认识的人?”答案通常是没有。但是如果测试人员打电话给用户,情况不同了,假扮成IT部门的同事,并向用户询问他或她的密码,这样测试人员可以“确认”了。这样的社会工程渗透技术是确定是否遵守安全策略的更可靠的方法。

  标准渗透测试的道德黑客技术

  问:我近为我们公司的合作伙伴作了一次渗透测试,发现管理层没有获得合作伙伴执行测试的书面许可。合作伙伴报告说他们被黑了,现在公司被卷入了诉讼!从现在开始我要确保我手里有书面许可,但是我要怎么做才能挽救我作为一名道德黑客的名誉呢?

  答:没有什么能比得上把自己卷入诉讼中。好像你和你的公司都得到了很有价值的教训,知道在进行评估前首先要有合适的书面许可。你需要先做几件事情:一是和公司的管理层和律师谈谈,看看他们需要从你这里去的什么文件。这可能包括的文档有你被要求作什么事儿的,你做了什么测试,以及什么时候。要尽可能的合作,并快速建立一种观念,是你是把公司利益放在第一位的员工。

  下一步,为将来的渗透测试创建可以遵守的程序。这应该要求有管理层的一些文件要求以及各方面的同意这么做的许可类型的通知。在测试后,还应该包括测试进行的时间和内容的文档。

  如果你的公司可以很好地处理这种情况,管理层会在这个过程中支持你。如果清楚了公司知道需要有许可并选择了忽略它,你还有一个选择,很不幸,是你要辞职。有时,保护自己名誉的好方法是完全和公司分开,并找一家尊重道德的新公司。这是很激烈的措施,但是后对你有利。任何称职的雇主都不会这么对待你。

  保证企业网络安全必需渗透测试吗?

  问:在企业网络安全策略中,渗透测试的重要性有多大?

  答:渗透测试可以提供安全防御的有价值的信息,但是成本很高。为了渗透测试的可信性,通常必须要有独立的外部公司进行。如果使用内部人员和测试揭开漏洞,你可能会听到这样的批评,测试人员一定在攻击中利用了他们的内部信息和架构的指示来扩大安全预算。另一方面,如果测试表明状况良好,你可能会受到测试不够彻底的批评。如果有的话,这一定是第二十二条军规。

  由于渗透测试的高成本,我通常推荐成熟的安全项目才能考虑使用。如果你正在构建安全架构,缺少几个主要的部分,那么首先把预算花在这里吧。否则,渗透测试只能揭示已经知道的漏洞。另一方面,如果采用了渗透测试来评估全面执行的架构,你可能会获得潜在漏洞有价值的信息。

  威胁建模对企业有帮助吗?

  问:威胁建模是有用的防御机制吗?真的可以和黑客一样思考吗?

  答:目前,威胁建模对安全专家来说是一种难以置信的有用的工具。进行威胁建模的训练,可以遵循一下的步骤。

  首先,广泛考虑企业中有价值的信息资产、重要的计算机资源以及他们的位置。

  下一步,讨论一下细节,谁可能攻击你的企业,为什么。这些是威胁。网络罪犯会攻击你吗?单一民族会吗?内部威胁呢?不要忘了考虑安装在环境内部的飘忽不定的蠕虫。目前的威胁不是全部都是人为的。

  第三,基于你的威胁清单,开始考虑他们如何攻击你。简单的方法是什么?取得详细的信息,不要马上列出你的同事也可以想到的各种怪异的想法。当威胁和漏洞重叠的时候,风险出现了。

  后,考虑你已经采取的应对这些风险的对策。你的防御可以阻止你阐明的情景中的攻击吗如果不能,你可以在低程度上快速删除不当之处并立即作出回应吗?

  当然,你不能使用恶意人士和恶意软件攻击你的所有方法。攻击者都是创造性的,并在不断革新。还有一句老生常谈:你不能总是和攻击者想到的一样,但是你可以有时和他们想的存在某些相同之处。因此,确保你少可以防御你的团队考虑到的常见和破坏大的攻击。不采用这些基本的威胁建模,你可能会受到可预测的、很明显的攻击,而这些攻击原本应该可以防御的。

  OWASP(Open Web Application Security Project)的团队已经总结了各种威胁建模方法大纲,这是从微软自己的程序中获得的灵感。这份摘要描述了确定去也大威胁和相关风险的不同方法。很多公司也正在开发自动威胁建模软件,包括Skybox Security。