為什么你要進(jìn)行滲透測(cè)試?無論是借助內(nèi)部團(tuán)隊(duì)、外部專家還是結(jié)合兩者,你是單單滿足監(jiān)管要求或?qū)徲?jì)要求?還是其實(shí)希望增強(qiáng)企業(yè)安全?

  我們請(qǐng)教了滲透測(cè)試方面的幾位專家,指導(dǎo)你如何改進(jìn)計(jì)劃,以便付出去的時(shí)間、金錢和努力取得大成效。如果你求助于外部專家,他們給出的建議會(huì)讓你明白對(duì)顧問應(yīng)該有怎樣的期望和要求。下面這10個(gè)秘訣表明你需要明白滲透測(cè)試的目的和重點(diǎn),制定高效的測(cè)試策略,有效地利用你的人員,以及有效地利用滲透測(cè)試的結(jié)果,以便補(bǔ)救問題、改進(jìn)流程以及不斷改善企業(yè)的安全狀況。

  第1個(gè)秘訣:確定目的。

  滲透測(cè)試(其實(shí)所有信息安全活動(dòng))的目的是保護(hù)企業(yè)。說白了是,你充當(dāng)攻擊者的角色,查找安全漏洞,并且鉆漏洞的空子,從而查明企業(yè)面臨的風(fēng)險(xiǎn),并且根據(jù)測(cè)試結(jié)果,給出相應(yīng)建議,以增強(qiáng)安全。攻擊者在試圖竊取你的數(shù)據(jù)??他們采用的技術(shù)只是達(dá)到目的的手段。滲透測(cè)試也是如此:目的倒不是說你利用很酷的技術(shù)活來鉆漏洞的空子,而是發(fā)現(xiàn)企業(yè)在哪個(gè)環(huán)節(jié)面臨大的風(fēng)險(xiǎn)。

  InGuardians公司的創(chuàng)始人兼高級(jí)安全顧問Ed Skoudis說:“要是你無法從我公司的角度來進(jìn)行表述,那你無法給我?guī)韮r(jià)值。不要告訴我你鉆了某個(gè)漏洞的空子,獲得了某個(gè)硬件設(shè)備的外殼程序,卻不告訴我這對(duì)我公司來說意味著什么。”

  如果明白了這個(gè)道理,那么從更加戰(zhàn)術(shù)性的角度來看,滲透測(cè)試是個(gè)好方法,可以確定你的安全政策、控制措施和技術(shù)的實(shí)際效果有多好。貴公司把許多錢投入到安全產(chǎn)品上,給系統(tǒng)打補(bǔ)丁,以及確保端點(diǎn)安全等方面。作為滲透測(cè)試人員,你是在模仿攻擊者,試圖繞過或突破安全控制。

  Core Security公司的創(chuàng)始人兼安全咨詢服務(wù)主管Alberto Solino說:“你是想對(duì)公司好好評(píng)估一番,看看錢有沒有花在刀口上!

  目的不應(yīng)該是僅僅為滲透測(cè)試弄一份復(fù)選框,羅列相關(guān)內(nèi)容,以滿足合規(guī)要求,比如支付卡行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。滲透測(cè)試的目的應(yīng)該不僅僅是查找漏洞(漏洞掃描應(yīng)該是滲透測(cè)試計(jì)劃的一部分,但代替不了滲透測(cè)試)。除非滲透測(cè)試是發(fā)現(xiàn)、利用和糾正安全漏洞的一項(xiàng)可持續(xù)計(jì)劃的一部分,否則算你投入了財(cái)力和精力,換來的充其量還是表示通過的那個(gè)勾號(hào);糟糕的情況是,通不過目光敏銳的評(píng)估人員的審計(jì)。

  第2個(gè)秘訣:關(guān)注數(shù)據(jù)。

  無論你在進(jìn)行內(nèi)部測(cè)試,聘請(qǐng)外部顧問,還是結(jié)合兩者,企業(yè)用于滲透測(cè)試的預(yù)算和資源都很有限。你做不到針對(duì)包括成百上千個(gè)設(shè)備的IT基礎(chǔ)設(shè)施進(jìn)行滲透測(cè)試,不過滲透測(cè)試人員常常會(huì)被要求試著攻擊一大段IP地址上的眾多設(shè)備。結(jié)果進(jìn)行的很可能是草率的測(cè)試方法,幾乎沒有什么作用。你別指望能在合理的時(shí)間段里,以合理的成本,對(duì)數(shù)量非常多的設(shè)備進(jìn)行漏洞掃描、補(bǔ)救漏洞。

  Verizon安全解決方案公司的全球產(chǎn)品經(jīng)理Omar Khawaja說:“在許多情況下,客戶有成千上萬個(gè)IP地址,希望我們對(duì)這么多地址進(jìn)行滲透測(cè)試。我們可以運(yùn)行漏洞測(cè)試,看看什么部分脆弱,可是這對(duì)貴企業(yè)來說可能不是重要的!

  退一步問一問:“我要保護(hù)的是什么?”哪些關(guān)鍵數(shù)據(jù)面臨風(fēng)險(xiǎn):是信用卡數(shù)據(jù)、病人信息、客戶的個(gè)人身份信息、商業(yè)計(jì)劃還是知識(shí)產(chǎn)權(quán)?這些信息在什么地方?你甚至知道含有敏感數(shù)據(jù)的每個(gè)數(shù)據(jù)庫、每個(gè)文件存儲(chǔ)庫和每個(gè)日志存儲(chǔ)區(qū)嗎?你也許不知道,但攻擊者很可能找得到。

  所以,第一個(gè)關(guān)鍵的步驟是縮小滲透測(cè)試的范圍,重點(diǎn)關(guān)注數(shù)據(jù)發(fā)現(xiàn):確定哪些敏感數(shù)據(jù)面臨風(fēng)險(xiǎn),它們?cè)谀睦铩=酉聛淼娜蝿?wù)是,扮演攻擊者的角色,搞清楚如何找出漏洞。

  Core Security公司的Solino說:“目的是模仿真正的攻擊者在一定時(shí)間段內(nèi)會(huì)對(duì)客戶搞什么破壞,而不是找出所有可能存在的問題。”

  第3個(gè)秘訣:與業(yè)務(wù)負(fù)責(zé)人交流。

  要與業(yè)務(wù)部門的人合作。他們知道什么面臨危險(xiǎn),知道哪些數(shù)據(jù)很關(guān)鍵、哪些應(yīng)用程序在創(chuàng)建和聯(lián)系這些數(shù)據(jù)。他們至少知道數(shù)據(jù)放在哪些比較明顯的地方。他們還會(huì)告訴你哪些應(yīng)用程序必須保持正常運(yùn)行。

  只有這樣,你才會(huì)基本上了解與某些應(yīng)用程序有關(guān)的威脅級(jí)別,以及風(fēng)險(xiǎn)等式中很重要的數(shù)據(jù)和資產(chǎn)具有的價(jià)值。

  這個(gè)過程的一個(gè)重要方面是,與懂得應(yīng)用程序業(yè)務(wù)邏輯的人合作。知道應(yīng)用程序本該做什么、本該如何運(yùn)行,可以幫你找到應(yīng)用程序的漏洞,并鉆空子。

  InGuardians公司的Skoudis說:“先確定范圍,包括關(guān)鍵的信息資產(chǎn)和業(yè)務(wù)交易處理。然后與滲透測(cè)試團(tuán)隊(duì)和管理人員開頭腦風(fēng)暴會(huì)!

  Skoudis還建議要求管理人員提出壞情況的場(chǎng)景,“要是有人闖入了企業(yè),可能發(fā)生的糟糕事情是什么?”這種演練有助于查明“真正的寶貴數(shù)據(jù)”在哪里,從而確定項(xiàng)目范圍。