確保滲透測(cè)試成功的十個(gè)秘訣

作者：網(wǎng)絡(luò)轉(zhuǎn)載發(fā)布時(shí)間：[ 2010/12/14 15:59:15 ] 推薦標(biāo)簽：

　　第4個(gè)秘訣：根據(jù)風(fēng)險(xiǎn)高低，進(jìn)行測(cè)試。

　　進(jìn)行哪種類型的測(cè)試，應(yīng)取決于數(shù)據(jù)/應(yīng)用程序的價(jià)值。對(duì)于低風(fēng)險(xiǎn)資產(chǎn)，定期的漏洞掃描無異于經(jīng)濟(jì)高效地利用資源。中等風(fēng)險(xiǎn)的資產(chǎn)可能需要結(jié)合漏洞掃描和手動(dòng)的漏洞檢查。至于高風(fēng)險(xiǎn)資產(chǎn)，應(yīng)進(jìn)行滲透測(cè)試，尋找可利用的漏洞。

　　比如說，一所大型大學(xué)的安全主管說，他們已開始進(jìn)行滲透測(cè)試，以滿足PCI DSS的要求。一旦這項(xiàng)計(jì)劃落實(shí)到位，成了用于測(cè)試潛在攻擊者潛入大學(xué)系統(tǒng)的能力的典范。該大學(xué)將數(shù)據(jù)分為公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)、敏感數(shù)據(jù)和高度敏感數(shù)據(jù)這幾類。

　　他說：“對(duì)于高度敏感的信息，我們進(jìn)行了滲透測(cè)試，遵守幾乎與PCI一樣的準(zhǔn)則。我們?cè)诖嘶A(chǔ)上深入了一步，根據(jù)一些具體的標(biāo)準(zhǔn)和一些主觀判斷，看看要對(duì)系統(tǒng)進(jìn)行哪種級(jí)別的滲透測(cè)試??如果需要滲透測(cè)試的話。”

　　比如說，對(duì)于風(fēng)險(xiǎn)比較低的信息，該大學(xué)將測(cè)試隨機(jī)抽選的系統(tǒng)及/或應(yīng)用程序，具體要看時(shí)間和預(yù)算的緊張程度。由于校園網(wǎng)絡(luò)上有幾千個(gè)設(shè)備，即便對(duì)它們都進(jìn)行低級(jí)掃描也是行不通的。

　　這名安全主管說：“你可以測(cè)試有明確所有者和系統(tǒng)管理員的業(yè)務(wù)系統(tǒng)。但是如果你有3000臺(tái)Wii連接到網(wǎng)絡(luò)上，你不應(yīng)該掃描那些設(shè)備、弄清楚它們分別屬于誰�！�

　　第5個(gè)秘訣：了解攻擊者的概況。

　　你的滲透測(cè)試人員在想法和行為上都要與真正的攻擊者無異。但攻擊者不屬于好人這一類。要了解潛在攻擊者的概況。

　　外部攻擊者對(duì)貴公司可能所知甚少，可能知道一些IP地址。但他們可能是前任員工，或者效力于貴公司的合作伙伴或服務(wù)提供商，所以對(duì)你網(wǎng)絡(luò)的內(nèi)部情況相當(dāng)了解。內(nèi)部攻擊者可能是擁有訪問和授權(quán)特權(quán)的系統(tǒng)管理員或數(shù)據(jù)庫(kù)管理員，知道關(guān)鍵數(shù)據(jù)在什么地方。

　　了解攻擊者概況時(shí)要考慮的一個(gè)因素是動(dòng)機(jī)。攻擊者覬覦的是可以變成現(xiàn)金的信用卡號(hào)碼和個(gè)人身份信息？還是可以賣給競(jìng)爭(zhēng)對(duì)手或獲得商業(yè)優(yōu)勢(shì)的知識(shí)產(chǎn)權(quán)？攻擊者想破壞你的Web應(yīng)用程序，可能出于政治目的或競(jìng)爭(zhēng)目的。他可能是怒氣沖沖的前任員工，想“對(duì)貴公司進(jìn)行報(bào)復(fù)”。

　　應(yīng)該與業(yè)務(wù)負(fù)責(zé)人合作，幫助了解這些概況，打探哪些類型的潛在攻擊者是他們感到擔(dān)心的。

　　概況可以縮小滲透測(cè)試的關(guān)注范圍；測(cè)試內(nèi)容會(huì)不一樣，具體取決于每一種攻擊者概況。

　　Core Security公司的Solino說：“我們基本了解了某個(gè)攻擊者會(huì)對(duì)目標(biāo)搞什么破壞，對(duì)此我們分得很清楚。針對(duì)每一種概況，我們獲得滲透測(cè)試的結(jié)果，然后再了解另一種概況。”

　　第6個(gè)秘訣：掌握的信息越多越好。

　　無論是實(shí)際攻擊，還是滲透測(cè)試，收集信息都是整個(gè)過程的一個(gè)部分，旨在查找諸設(shè)備、操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫(kù)等。你對(duì)某個(gè)目標(biāo)及與它連接的系統(tǒng)了解越多，潛入進(jìn)去的可能性越大。

　　每一步都可能會(huì)得到有價(jià)值的信息，以便你攻擊另一個(gè)資產(chǎn)，直到終進(jìn)入你瞄準(zhǔn)的數(shù)據(jù)庫(kù)和文件共享區(qū)等目標(biāo)。獲得的信息讓你可以縮小搜索可利用漏洞的范圍。通�？梢允褂米詣�(dòng)化的掃描和繪圖工具，來進(jìn)行這種偵察；但你也可以使用社會(huì)工程學(xué)方法，比如在電話一頭冒充技術(shù)支持人員或承包商，收集有價(jià)值的信息。

　　Verizon公司的Khawaja說：“我們?cè)絹碓蕉嗟亻_始采用社會(huì)工程學(xué)方法。這實(shí)際上是一種偵察手段（在客戶許可的情況下進(jìn)行），讓我們得以在環(huán)境中找到可以幫助我們潛入進(jìn)去的每個(gè)薄弱環(huán)節(jié)�！�

　　多階段的滲透測(cè)試通常是重復(fù)進(jìn)行偵察、評(píng)估漏洞和利用漏洞，每一步都為你提供更深入地滲透到網(wǎng)絡(luò)的信息。

上一頁(yè)1 2 3 4 下一頁(yè)