為什么你要進行滲透測試?無論是借助內部團隊、外部專家還是結合兩者,你是單單滿足監(jiān)管要求或審計要求?還是其實希望增強企業(yè)安全?

  我們請教了滲透測試方面的幾位專家,指導你如何改進計劃,以便付出去的時間、金錢和努力取得大成效。如果你求助于外部專家,他們給出的建議會讓你明白對顧問應該有怎樣的期望和要求。下面這10個秘訣表明你需要明白滲透測試的目的和重點,制定高效的測試策略,有效地利用你的人員,以及有效地利用滲透測試的結果,以便補救問題、改進流程以及不斷改善企業(yè)的安全狀況。

  第1個秘訣:確定目的。

  滲透測試(其實所有信息安全活動)的目的是保護企業(yè)。說白了是,你充當攻擊者的角色,查找安全漏洞,并且鉆漏洞的空子,從而查明企業(yè)面臨的風險,并且根據(jù)測試結果,給出相應建議,以增強安全。攻擊者在試圖竊取你的數(shù)據(jù)??他們采用的技術只是達到目的的手段。滲透測試也是如此:目的倒不是說你利用很酷的技術活來鉆漏洞的空子,而是發(fā)現(xiàn)企業(yè)在哪個環(huán)節(jié)面臨大的風險。

  InGuardians公司的創(chuàng)始人兼高級安全顧問Ed Skoudis說:“要是你無法從我公司的角度來進行表述,那你無法給我?guī)韮r值。不要告訴我你鉆了某個漏洞的空子,獲得了某個硬件設備的外殼程序,卻不告訴我這對我公司來說意味著什么。”

  如果明白了這個道理,那么從更加戰(zhàn)術性的角度來看,滲透測試是個好方法,可以確定你的安全政策、控制措施和技術的實際效果有多好。貴公司把許多錢投入到安全產(chǎn)品上,給系統(tǒng)打補丁,以及確保端點安全等方面。作為滲透測試人員,你是在模仿攻擊者,試圖繞過或突破安全控制。

  Core Security公司的創(chuàng)始人兼安全咨詢服務主管Alberto Solino說:“你是想對公司好好評估一番,看看錢有沒有花在刀口上。”

  目的不應該是僅僅為滲透測試弄一份復選框,羅列相關內容,以滿足合規(guī)要求,比如支付卡行業(yè)的數(shù)據(jù)安全標準(PCI DSS)。滲透測試的目的應該不僅僅是查找漏洞(漏洞掃描應該是滲透測試計劃的一部分,但代替不了滲透測試)。除非滲透測試是發(fā)現(xiàn)、利用和糾正安全漏洞的一項可持續(xù)計劃的一部分,否則算你投入了財力和精力,換來的充其量還是表示通過的那個勾號;糟糕的情況是,通不過目光敏銳的評估人員的審計。

  第2個秘訣:關注數(shù)據(jù)。

  無論你在進行內部測試,聘請外部顧問,還是結合兩者,企業(yè)用于滲透測試的預算和資源都很有限。你做不到針對包括成百上千個設備的IT基礎設施進行滲透測試,不過滲透測試人員常常會被要求試著攻擊一大段IP地址上的眾多設備。結果進行的很可能是草率的測試方法,幾乎沒有什么作用。你別指望能在合理的時間段里,以合理的成本,對數(shù)量非常多的設備進行漏洞掃描、補救漏洞。

  Verizon安全解決方案公司的全球產(chǎn)品經(jīng)理Omar Khawaja說:“在許多情況下,客戶有成千上萬個IP地址,希望我們對這么多地址進行滲透測試。我們可以運行漏洞測試,看看什么部分脆弱,可是這對貴企業(yè)來說可能不是重要的!

  退一步問一問:“我要保護的是什么?”哪些關鍵數(shù)據(jù)面臨風險:是信用卡數(shù)據(jù)、病人信息、客戶的個人身份信息、商業(yè)計劃還是知識產(chǎn)權?這些信息在什么地方?你甚至知道含有敏感數(shù)據(jù)的每個數(shù)據(jù)庫、每個文件存儲庫和每個日志存儲區(qū)嗎?你也許不知道,但攻擊者很可能找得到。

  所以,第一個關鍵的步驟是縮小滲透測試的范圍,重點關注數(shù)據(jù)發(fā)現(xiàn):確定哪些敏感數(shù)據(jù)面臨風險,它們在哪里。接下來的任務是,扮演攻擊者的角色,搞清楚如何找出漏洞。

  Core Security公司的Solino說:“目的是模仿真正的攻擊者在一定時間段內會對客戶搞什么破壞,而不是找出所有可能存在的問題!

  第3個秘訣:與業(yè)務負責人交流。

  要與業(yè)務部門的人合作。他們知道什么面臨危險,知道哪些數(shù)據(jù)很關鍵、哪些應用程序在創(chuàng)建和聯(lián)系這些數(shù)據(jù)。他們至少知道數(shù)據(jù)放在哪些比較明顯的地方。他們還會告訴你哪些應用程序必須保持正常運行。

  只有這樣,你才會基本上了解與某些應用程序有關的威脅級別,以及風險等式中很重要的數(shù)據(jù)和資產(chǎn)具有的價值。

  這個過程的一個重要方面是,與懂得應用程序業(yè)務邏輯的人合作。知道應用程序本該做什么、本該如何運行,可以幫你找到應用程序的漏洞,并鉆空子。

  InGuardians公司的Skoudis說:“先確定范圍,包括關鍵的信息資產(chǎn)和業(yè)務交易處理。然后與滲透測試團隊和管理人員開頭腦風暴會!

  Skoudis還建議要求管理人員提出壞情況的場景,“要是有人闖入了企業(yè),可能發(fā)生的糟糕事情是什么?”這種演練有助于查明“真正的寶貴數(shù)據(jù)”在哪里,從而確定項目范圍。