確保滲透測試成功的十個(gè)秘訣

作者：網(wǎng)絡(luò)轉(zhuǎn)載發(fā)布時(shí)間：[ 2010/12/14 15:59:15 ] 推薦標(biāo)簽：

　　第4個(gè)秘訣：根據(jù)風(fēng)險(xiǎn)高低，進(jìn)行測試。

　　進(jìn)行哪種類型的測試，應(yīng)取決于數(shù)據(jù)/應(yīng)用程序的價(jià)值。對于低風(fēng)險(xiǎn)資產(chǎn)，定期的漏洞掃描無異于經(jīng)濟(jì)高效地利用資源。中等風(fēng)險(xiǎn)的資產(chǎn)可能需要結(jié)合漏洞掃描和手動的漏洞檢查。至于高風(fēng)險(xiǎn)資產(chǎn)，應(yīng)進(jìn)行滲透測試，尋找可利用的漏洞。

　　比如說，一所大型大學(xué)的安全主管說，他們已開始進(jìn)行滲透測試，以滿足PCI DSS的要求。一旦這項(xiàng)計(jì)劃落實(shí)到位，成了用于測試潛在攻擊者潛入大學(xué)系統(tǒng)的能力的典范。該大學(xué)將數(shù)據(jù)分為公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)、敏感數(shù)據(jù)和高度敏感數(shù)據(jù)這幾類。

　　他說：“對于高度敏感的信息，我們進(jìn)行了滲透測試，遵守幾乎與PCI一樣的準(zhǔn)則。我們在此基礎(chǔ)上深入了一步，根據(jù)一些具體的標(biāo)準(zhǔn)和一些主觀判斷，看看要對系統(tǒng)進(jìn)行哪種級別的滲透測試??如果需要滲透測試的話�！�

　　比如說，對于風(fēng)險(xiǎn)比較低的信息，該大學(xué)將測試隨機(jī)抽選的系統(tǒng)及/或應(yīng)用程序，具體要看時(shí)間和預(yù)算的緊張程度。由于校園網(wǎng)絡(luò)上有幾千個(gè)設(shè)備，即便對它們都進(jìn)行低級掃描也是行不通的。

　　這名安全主管說：“你可以測試有明確所有者和系統(tǒng)管理員的業(yè)務(wù)系統(tǒng)。但是如果你有3000臺Wii連接到網(wǎng)絡(luò)上，你不應(yīng)該掃描那些設(shè)備、弄清楚它們分別屬于誰�！�

　　第5個(gè)秘訣：了解攻擊者的概況。

　　你的滲透測試人員在想法和行為上都要與真正的攻擊者無異。但攻擊者不屬于好人這一類。要了解潛在攻擊者的概況。

　　外部攻擊者對貴公司可能所知甚少，可能知道一些IP地址。但他們可能是前任員工，或者效力于貴公司的合作伙伴或服務(wù)提供商，所以對你網(wǎng)絡(luò)的內(nèi)部情況相當(dāng)了解。內(nèi)部攻擊者可能是擁有訪問和授權(quán)特權(quán)的系統(tǒng)管理員或數(shù)據(jù)庫管理員，知道關(guān)鍵數(shù)據(jù)在什么地方。

　　了解攻擊者概況時(shí)要考慮的一個(gè)因素是動機(jī)。攻擊者覬覦的是可以變成現(xiàn)金的信用卡號碼和個(gè)人身份信息？還是可以賣給競爭對手或獲得商業(yè)優(yōu)勢的知識產(chǎn)權(quán)？攻擊者想破壞你的Web應(yīng)用程序，可能出于政治目的或競爭目的。他可能是怒氣沖沖的前任員工，想“對貴公司進(jìn)行報(bào)復(fù)”。

　　應(yīng)該與業(yè)務(wù)負(fù)責(zé)人合作，幫助了解這些概況，打探哪些類型的潛在攻擊者是他們感到擔(dān)心的。

　　概況可以縮小滲透測試的關(guān)注范圍；測試內(nèi)容會不一樣，具體取決于每一種攻擊者概況。

　　Core Security公司的Solino說：“我們基本了解了某個(gè)攻擊者會對目標(biāo)搞什么破壞，對此我們分得很清楚。針對每一種概況，我們獲得滲透測試的結(jié)果，然后再了解另一種概況�！�

　　第6個(gè)秘訣：掌握的信息越多越好。

　　無論是實(shí)際攻擊，還是滲透測試，收集信息都是整個(gè)過程的一個(gè)部分，旨在查找諸設(shè)備、操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫等。你對某個(gè)目標(biāo)及與它連接的系統(tǒng)了解越多，潛入進(jìn)去的可能性越大。

　　每一步都可能會得到有價(jià)值的信息，以便你攻擊另一個(gè)資產(chǎn)，直到終進(jìn)入你瞄準(zhǔn)的數(shù)據(jù)庫和文件共享區(qū)等目標(biāo)。獲得的信息讓你可以縮小搜索可利用漏洞的范圍。通�？梢允褂米詣踊膾呙韬屠L圖工具，來進(jìn)行這種偵察；但你也可以使用社會工程學(xué)方法，比如在電話一頭冒充技術(shù)支持人員或承包商，收集有價(jià)值的信息。

　　Verizon公司的Khawaja說：“我們越來越多地開始采用社會工程學(xué)方法。這實(shí)際上是一種偵察手段（在客戶許可的情況下進(jìn)行），讓我們得以在環(huán)境中找到可以幫助我們潛入進(jìn)去的每個(gè)薄弱環(huán)節(jié)�！�

　　多階段的滲透測試通常是重復(fù)進(jìn)行偵察、評估漏洞和利用漏洞，每一步都為你提供更深入地滲透到網(wǎng)絡(luò)的信息。