第7個秘訣:考慮所有攻擊途徑。

  攻擊者能利用而且會利用IT基礎設施不同方面的漏洞,或單槍匹馬,或合伙行動(后者更常見),以便獲得他們尋找的數據。

  全面深入的滲透測試會根據攻擊者的終目的,而不是根據每個攻擊途徑的脆弱性,逐一測試所有這些潛在的攻擊途徑。

  Solino說:“要是幾年前,我們會進行網絡滲透測試、應用滲透測試和無線滲透測試;后來我們退一步說‘這么做毫無意義’。壞人才不說‘我只能通過網絡闖入到系統(tǒng)’!

  成功的滲透測試與真實的攻擊一樣,可能會用到許多途徑,涉及好多步驟,直到發(fā)現有空子可鉆的目標。一臺打印服務器似乎不是特別值得關注,但它可能使用與含有信用卡資料的數據庫同樣的管理員登錄信息。

  InGuardians公司的Skoudis說:“滲透測試人員找到漏洞后鉆空子,然后從這臺機器跳轉到另一臺機器,再跳轉到下一臺機器!

  對Web應用程序發(fā)動攻擊后可能鉆不了空子,但得到的信息有助于利用網絡上其他資產的漏洞;蛘撸粽呖赡軙@得沒有很高權限,但可以訪問內部網絡的員工方面的信息,然后以此作為跳板。

  所以,某個關鍵資源也許無法直接下手,但可能會因其他系統(tǒng)來受到危及。

  Khawaja表示,比如說,Verizon公司的滲透測試人員無法直接闖入可以訪問敏感數據庫的Web服務器。如果測試人員的目光局限于測試這臺服務器上的Web應用程序,那么得出的結論會是:數據是安全的。但如果站在以數據為中心的角度,他們會發(fā)現與這臺Web服務器連接的第二臺Web服務器有一個重大漏洞,攻擊者可以利用該漏洞來訪問第一臺Web服務器,進而訪問那個敏感數據庫。

  他說:“只要與我們在攻擊的網段沒有隔離開來的系統(tǒng),我們都關注。有沒有任何網絡控制措施來防止攻擊者從一個易受攻擊的低價值系統(tǒng)跳轉到一個比較關鍵的系統(tǒng)?”

  話雖如此,還是有必要針對特定的攻擊途徑進行測試。比如說,一家公司可能特別擔心無線安全,因為它知道之前自己在這方面有些松懈,或者可能近安裝或升級了無線局域網基礎設施。但是算你確信某一個途徑很安全??比如說,如果無線網絡與信用卡數據庫隔離開來,也不要太肯定。因為,攻擊途徑可能錯綜復雜。

  第8個秘訣:確定交戰(zhàn)規(guī)則。

  滲透測試模擬攻擊行為,但它不是一種攻擊。無論你在內部進行測試,還是交由外部顧問測試,都需要制定規(guī)則,確定什么可以做,什么不可以做,什么時候做,誰需要知道內情。

  后者取決于你在進行白盒測試(white box testing),還是黑盒測試(black box testing。若是前一種情況,可能要承認這一點:公司(或者某個部門或業(yè)務單位)的安全計劃需要大量工作,而且滲透測試是各有關方都知道的公開過程。

  另一方面,黑盒測試顯得比較秘密,測試起來更像是真正的攻擊??只有參與測試的人知道內情,外人完全不知道。你要確定公司的員工多稱職、流程及其支持系統(tǒng)的效果有多好。

  Verizon公司的Khawaja說:“無論是運營中心、調查響應團隊還是保安人員,每個人都要裝作滲透測試的那天是辦公室的平常!

  許多公司通常會先進行白盒測試,了解要解決的安全問題。隨后,黑盒測試將有助于確定初發(fā)現的漏洞是不是得到了有效補救。比如說,有時首席安全官不但需要知道關鍵系統(tǒng)有多脆弱,還需要了解下屬在檢測和響應攻擊方面的能力有多強。

  不管怎樣,要把情況告知某些關鍵的人,避免出現可能影響業(yè)務或破壞測試的問題。InGuardians公司的Skoudis表示,目標環(huán)境中負責變更控制流程的人當中至少一人要了解內情。比如說,按照交戰(zhàn)規(guī)則(rules of engagement),公司可以允許滲透測試人員將軟件安裝到目標設備上,進行更深入的跳轉測試,但至少要告知那個人,確保測試人員不會因為從路由器的訪問控制列表(ACL)刪掉IP地址,或運用防火墻規(guī)則而遭到阻止。

  在白盒測試和黑盒測試這兩種場景下,Skoudis建議每天與測試的相關人員開簡會,讓他們知道測試人員在做什么。比如說,交戰(zhàn)規(guī)則可能允許滲透測試人員利用漏洞,但開簡會能起到提醒作用,好讓大家心里有數。

  他說:“開簡會起到了溝通作用。它表明滲透測試人員不是外面‘來抓我’的一幫壞人。目的是做到透明、公開!