交戰(zhàn)規(guī)則還可能限定哪些系統(tǒng)的漏洞可以利用、哪些不可以,比如客戶機(jī);或者限定哪些攻擊手法可以用、哪些不可以用,比如社會(huì)工程學(xué)。

  第9個(gè)秘訣:報(bào)告測(cè)試結(jié)果,并衡量進(jìn)度。

  滲透測(cè)試的目的是為了改善安全狀況,所以如果你在進(jìn)行內(nèi)部測(cè)試,測(cè)試報(bào)告應(yīng)該會(huì)提供實(shí)用而具體的信息,以便你付諸實(shí)際行動(dòng)。

  InGuardians公司的Skoudis說(shuō):“目的是有助于增強(qiáng)安全性,以便管理人員做決定來(lái)改進(jìn)業(yè)務(wù),并且?guī)椭\(yùn)營(yíng)團(tuán)隊(duì)增強(qiáng)安全性。”

  你應(yīng)該出示一份測(cè)試摘要,不過(guò)報(bào)告重點(diǎn)應(yīng)包括詳細(xì)描述這些方面的內(nèi)容:發(fā)現(xiàn)的漏洞,如何利用這些漏洞,以及萬(wàn)一真的發(fā)生攻擊,哪些資產(chǎn)面臨風(fēng)險(xiǎn)。詳細(xì)介紹用來(lái)滲透的每個(gè)步驟、被利用的每個(gè)漏洞,重要的可能是所有攻擊途徑。

  Core Security公司的Solino說(shuō):“找出攻擊途徑的意義在于,可以通過(guò)破壞途徑來(lái)解決具體問(wèn)題!

  建議措施一定要非常具體。如果需要改變架構(gòu),還要附上圖表。解釋如何證實(shí)解決方法已落實(shí)到位(可以用工具來(lái)衡量)。在涉及多個(gè)系統(tǒng)的情況下,還要解釋如何批量部署解決方法,盡可能使用組策略對(duì)象(GPO)。

  確保每個(gè)建議的補(bǔ)救措施都附有注意事項(xiàng):先全面深入地測(cè)試解決方法,之后才可落實(shí)到生產(chǎn)環(huán)境中。因?yàn)槠髽I(yè)的IT基礎(chǔ)設(shè)施可能非常復(fù)雜。

  Skoudis說(shuō):“這是個(gè)大問(wèn)題。因?yàn)槟悴恢浪屑?xì)微之處;你不應(yīng)該破壞正常生產(chǎn)。”

  滲透測(cè)試不應(yīng)該是一次性的演練,應(yīng)該對(duì)比連續(xù)幾次測(cè)試的結(jié)果。如果你在進(jìn)行內(nèi)部測(cè)試,要把變化部分放在一起,評(píng)估你的人員在如何解決問(wèn)題。要是近一兩次測(cè)試發(fā)現(xiàn)的問(wèn)題依然沒(méi)有得到解決,這表明貴企業(yè)可能有問(wèn)題。也許是軟件補(bǔ)丁計(jì)劃沒(méi)有起到應(yīng)有的效果,也許是開(kāi)發(fā)人員沒(méi)有經(jīng)過(guò)編寫(xiě)安全代碼方面的相應(yīng)培訓(xùn)。

  上面提到的那位大學(xué)安全主管說(shuō):“我們尋找的是趨勢(shì)。像你對(duì)待審計(jì)報(bào)告那樣。要是測(cè)試發(fā)現(xiàn)的是同樣一些漏洞,這表明可能存在比較嚴(yán)重的問(wèn)題。”

  第10個(gè)秘訣:決定誰(shuí)是滲透測(cè)試人員。

  決定要不要由內(nèi)部的工作人員進(jìn)行滲透測(cè)試,這得看貴公司的規(guī)模、竭力保護(hù)的信息具有的價(jià)值,以及想把內(nèi)部資源投入到哪些方面。有些公司在安全部門(mén)下面可能還設(shè)有專門(mén)的滲透測(cè)試團(tuán)隊(duì)或小組。內(nèi)部團(tuán)隊(duì)更有條件進(jìn)行定期測(cè)試。要是貴公司規(guī)模龐大,組織結(jié)構(gòu)分散,應(yīng)制定相應(yīng)機(jī)制,倡導(dǎo)可以共享信息的環(huán)境。

  Verizon公司的Khawaja說(shuō):“如果你的內(nèi)部團(tuán)隊(duì)能夠共享信息,要確保他們有一個(gè)強(qiáng)大的知識(shí)庫(kù),并依托成熟的知識(shí)管理系統(tǒng)。你要確保你在比利時(shí)的部門(mén)遭到的攻擊不會(huì)出現(xiàn)在巴西的部門(mén)!

  即使你進(jìn)行一些內(nèi)部測(cè)試,也有充足的理由需要聘請(qǐng)顧問(wèn)進(jìn)行至少一部分測(cè)試。有些法規(guī)要求必須由外部公司進(jìn)行滲透測(cè)試;還要考慮到這點(diǎn):內(nèi)部人員可能非常了解目標(biāo)系統(tǒng),而且測(cè)試結(jié)果關(guān)系到他們的切身利益。所以,除合規(guī)要求之外,定期從外面請(qǐng)顧問(wèn)來(lái)測(cè)試是個(gè)好想法。

  出于同樣的原因,如果你真從外面聘請(qǐng)測(cè)試顧問(wèn),要記得不時(shí)更換廠商,像每過(guò)幾年要更換審計(jì)人員那樣。

  那位大學(xué)安全主管說(shuō):“如果從外面請(qǐng)人來(lái),測(cè)試結(jié)果更讓人放心了。因?yàn)椴淮嬖谑裁蠢鏇_突!

  至于你的內(nèi)部團(tuán)隊(duì),要找既知識(shí)面廣、又有好奇心的員工。

  Core Security公司的Solino表示,有望成為滲透測(cè)試人員的培訓(xùn)對(duì)象要深入了解各種網(wǎng)絡(luò)和應(yīng)用協(xié)議,這是基礎(chǔ)。他通常注重好奇心和黑客的心理素質(zhì)。

  “既要有IT知識(shí),還要具備不相信系統(tǒng)是安全的態(tài)度,主張‘大膽試一試!’!

  Skoudis說(shuō):“滲透測(cè)試是門(mén)藝術(shù)。雖說(shuō)有一些工具和方法,但你在尋找目標(biāo)系統(tǒng)和應(yīng)用程序存在的問(wèn)題時(shí)一定要有創(chuàng)意、有想法!