社会工程测试应该包含在渗透测试中吗?

  问:社会工程应该是渗透测试的一部分吗?这样做是道德的吗?

  答:这个问题的答案还在争论之中。以下尽量不偏颇地列出对这个尴尬问题的双方的观点。然后,我会谈一下我的意见。

  有些安全专家坚决认为社会工厂测试不应该成为渗透测试的一部分。原因是安全人员需要对企业的所有员工都非常信任。

  如果没有这种信任,这些员工可能会忽视在渗透测试中的社会工程演习一部分的欺骗他们的人提出的建议。更糟的是,在这种测试中发现的缺乏良好的安全实践的员工可能会被动或者主动地破坏他们的安全主动性,并对整个企业的安全状况的改善带来不利影响。

  在这个问题的另一个方面,有些人认为确保员工理解并遵守安全实践至关重要,不必企业的技术结构和配置的重要性低。即使有完美的安全技术(而这是不存在的),不遵守可靠的安全实践的用户可能会破坏整个企业。而且如果员工的做法没有标准,如何决定他们是不是合适呢?好的安全测量的方法之一是对目标企业进行等级式的社会工程攻击,来看看他们如何反应。这样的测试对员工的行为必调查或者测验有了更好的实际的了解,在调查或者测验中,员工的反应总是像他们是模范市民。

  虽然我对双方的观点都很尊重,但是我更赞同第二种观点。社会工程测试具有很高的启迪作用,可以揭示目标企业的安全意识中的不足。具体的发现可以帮助企业以更快更划算的方式建立更好的安全意识。但是,这样的测试的进行必须要极端关注和专业精神。在开始任何社会工程测试之前,都要确定:

  ◆ 列出测试的内容,并创建具体的测试假象脚本。

  ◆ 确定管理层预先同意在后的报告中不提及具体的员工姓名,测试应该关注确定企业中的漏洞,以及对员工整体改善的建议,而不是查找有问题的个人。

  ◆ 记录测试中的所有的交互动作,但是不再后的报告中包括员工姓名。

  ◆ 考虑企业是否具有管理这种测试的专业技术,或者还是应该雇佣第三方。

  零了解渗透测试的赞成和反对理由是什么?

  问:如果测试人员不了解要进行渗透测试网站,赞成和反对的理由是什么?在理想状态下,测试人员应该是什么也不知道吗(为了更好的模仿攻击者的思维模式)?

  答:对网站的渗透测试环境的零了解意味着渗透测试人员被告知很少的目标信息,可能只有它的URL,因此可以模仿真实的攻击者。

  虽然对于预算和办公室政治的环境很有帮助,可以向老板提交报告证明即使不了解新网站的人也可以入侵进入,但是我对零了解的方法还有一些保留意见。我们知道一定百分比的攻击时来去网络边界内部的,或者来自有内部帮助的外部。如果你想要知道你的网站在所有现实情景中是否安全,零了解不是必须的好出发点。

  零了解的方法也有潜在的缺点,它返回结果比较慢。如果预先对测试人员介绍了系统的某些基础,会节省时间,而在产品生产的时候,时间通常是紧张的。这里重要的变数之一是目标的状态:是在生产还是在开发?当测试产品系统的时候,你可能想要测试人员让你尽快了解所发现的漏洞,而不是等后的报告。假设和测试人员的合同写的很合适,你可能可以个给漏洞打补丁,并测试补丁。当然,有人会说把渗透测试人员作为安全的改进人员可以花少钱得到大的效果。

  后,不管你是否选择从零了解出发,记住在不触犯法律的情况下你不可能真正的复制现实世界。你必须假定你的攻击者准备好了犯法来完成他们的目标,但是很多企业可以给渗透测试人员免死金牌。所以,你想要你的渗透测试人员可以和犯罪黑客一样思考,并把非法渗透到系统的方法写下来给你。

  底线是现实世界和渗透测试是两个不同的事情。如果有安全专家定期对产品中的潜在漏洞进行测试,而安全专家完全了解产品,而不是设置不现实的测试情景,你的安全资金可以以好的方式支出。