第7個(gè)秘訣:考慮所有攻擊途徑。

  攻擊者能利用而且會(huì)利用IT基礎(chǔ)設(shè)施不同方面的漏洞,或單槍匹馬,或合伙行動(dòng)(后者更常見(jiàn)),以便獲得他們尋找的數(shù)據(jù)。

  全面深入的滲透測(cè)試會(huì)根據(jù)攻擊者的終目的,而不是根據(jù)每個(gè)攻擊途徑的脆弱性,逐一測(cè)試所有這些潛在的攻擊途徑。

  Solino說(shuō):“要是幾年前,我們會(huì)進(jìn)行網(wǎng)絡(luò)滲透測(cè)試、應(yīng)用滲透測(cè)試和無(wú)線滲透測(cè)試;后來(lái)我們退一步說(shuō)‘這么做毫無(wú)意義’。壞人才不說(shuō)‘我只能通過(guò)網(wǎng)絡(luò)闖入到系統(tǒng)’!

  成功的滲透測(cè)試與真實(shí)的攻擊一樣,可能會(huì)用到許多途徑,涉及好多步驟,直到發(fā)現(xiàn)有空子可鉆的目標(biāo)。一臺(tái)打印服務(wù)器似乎不是特別值得關(guān)注,但它可能使用與含有信用卡資料的數(shù)據(jù)庫(kù)同樣的管理員登錄信息。

  InGuardians公司的Skoudis說(shuō):“滲透測(cè)試人員找到漏洞后鉆空子,然后從這臺(tái)機(jī)器跳轉(zhuǎn)到另一臺(tái)機(jī)器,再跳轉(zhuǎn)到下一臺(tái)機(jī)器!

  對(duì)Web應(yīng)用程序發(fā)動(dòng)攻擊后可能鉆不了空子,但得到的信息有助于利用網(wǎng)絡(luò)上其他資產(chǎn)的漏洞。或者,攻擊者可能會(huì)獲得沒(méi)有很高權(quán)限,但可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)的員工方面的信息,然后以此作為跳板。

  所以,某個(gè)關(guān)鍵資源也許無(wú)法直接下手,但可能會(huì)因其他系統(tǒng)來(lái)受到危及。

  Khawaja表示,比如說(shuō),Verizon公司的滲透測(cè)試人員無(wú)法直接闖入可以訪問(wèn)敏感數(shù)據(jù)庫(kù)的Web服務(wù)器。如果測(cè)試人員的目光局限于測(cè)試這臺(tái)服務(wù)器上的Web應(yīng)用程序,那么得出的結(jié)論會(huì)是:數(shù)據(jù)是安全的。但如果站在以數(shù)據(jù)為中心的角度,他們會(huì)發(fā)現(xiàn)與這臺(tái)Web服務(wù)器連接的第二臺(tái)Web服務(wù)器有一個(gè)重大漏洞,攻擊者可以利用該漏洞來(lái)訪問(wèn)第一臺(tái)Web服務(wù)器,進(jìn)而訪問(wèn)那個(gè)敏感數(shù)據(jù)庫(kù)。

  他說(shuō):“只要與我們?cè)诠舻木W(wǎng)段沒(méi)有隔離開(kāi)來(lái)的系統(tǒng),我們都關(guān)注。有沒(méi)有任何網(wǎng)絡(luò)控制措施來(lái)防止攻擊者從一個(gè)易受攻擊的低價(jià)值系統(tǒng)跳轉(zhuǎn)到一個(gè)比較關(guān)鍵的系統(tǒng)?”

  話雖如此,還是有必要針對(duì)特定的攻擊途徑進(jìn)行測(cè)試。比如說(shuō),一家公司可能特別擔(dān)心無(wú)線安全,因?yàn)樗乐白约涸谶@方面有些松懈,或者可能近安裝或升級(jí)了無(wú)線局域網(wǎng)基礎(chǔ)設(shè)施。但是算你確信某一個(gè)途徑很安全??比如說(shuō),如果無(wú)線網(wǎng)絡(luò)與信用卡數(shù)據(jù)庫(kù)隔離開(kāi)來(lái),也不要太肯定。因?yàn),攻擊途徑可能錯(cuò)綜復(fù)雜。

  第8個(gè)秘訣:確定交戰(zhàn)規(guī)則。

  滲透測(cè)試模擬攻擊行為,但它不是一種攻擊。無(wú)論你在內(nèi)部進(jìn)行測(cè)試,還是交由外部顧問(wèn)測(cè)試,都需要制定規(guī)則,確定什么可以做,什么不可以做,什么時(shí)候做,誰(shuí)需要知道內(nèi)情。

  后者取決于你在進(jìn)行白盒測(cè)試(white box testing),還是黑盒測(cè)試(black box testing。若是前一種情況,可能要承認(rèn)這一點(diǎn):公司(或者某個(gè)部門(mén)或業(yè)務(wù)單位)的安全計(jì)劃需要大量工作,而且滲透測(cè)試是各有關(guān)方都知道的公開(kāi)過(guò)程。

  另一方面,黑盒測(cè)試顯得比較秘密,測(cè)試起來(lái)更像是真正的攻擊??只有參與測(cè)試的人知道內(nèi)情,外人完全不知道。你要確定公司的員工多稱(chēng)職、流程及其支持系統(tǒng)的效果有多好。

  Verizon公司的Khawaja說(shuō):“無(wú)論是運(yùn)營(yíng)中心、調(diào)查響應(yīng)團(tuán)隊(duì)還是保安人員,每個(gè)人都要裝作滲透測(cè)試的那天是辦公室的平常。”

  許多公司通常會(huì)先進(jìn)行白盒測(cè)試,了解要解決的安全問(wèn)題。隨后,黑盒測(cè)試將有助于確定初發(fā)現(xiàn)的漏洞是不是得到了有效補(bǔ)救。比如說(shuō),有時(shí)首席安全官不但需要知道關(guān)鍵系統(tǒng)有多脆弱,還需要了解下屬在檢測(cè)和響應(yīng)攻擊方面的能力有多強(qiáng)。

  不管怎樣,要把情況告知某些關(guān)鍵的人,避免出現(xiàn)可能影響業(yè)務(wù)或破壞測(cè)試的問(wèn)題。InGuardians公司的Skoudis表示,目標(biāo)環(huán)境中負(fù)責(zé)變更控制流程的人當(dāng)中至少一人要了解內(nèi)情。比如說(shuō),按照交戰(zhàn)規(guī)則(rules of engagement),公司可以允許滲透測(cè)試人員將軟件安裝到目標(biāo)設(shè)備上,進(jìn)行更深入的跳轉(zhuǎn)測(cè)試,但至少要告知那個(gè)人,確保測(cè)試人員不會(huì)因?yàn)閺穆酚善鞯脑L問(wèn)控制列表(ACL)刪掉IP地址,或運(yùn)用防火墻規(guī)則而遭到阻止。

  在白盒測(cè)試和黑盒測(cè)試這兩種場(chǎng)景下,Skoudis建議每天與測(cè)試的相關(guān)人員開(kāi)簡(jiǎn)會(huì),讓他們知道測(cè)試人員在做什么。比如說(shuō),交戰(zhàn)規(guī)則可能允許滲透測(cè)試人員利用漏洞,但開(kāi)簡(jiǎn)會(huì)能起到提醒作用,好讓大家心里有數(shù)。

  他說(shuō):“開(kāi)簡(jiǎn)會(huì)起到了溝通作用。它表明滲透測(cè)試人員不是外面‘來(lái)抓我’的一幫壞人。目的是做到透明、公開(kāi)!