其次,網(wǎng)絡(luò)滲透測試的錯(cuò)誤實(shí)施可能會(huì)對公司網(wǎng)絡(luò)的穩(wěn)定性帶來可怕的后果。舉例來說,入侵者(包括白帽和黑帽黑客)所使用的某些工具軟件其設(shè)計(jì)的目的是探測某個(gè)網(wǎng)絡(luò)中存在的安全漏洞。對于某些安全漏洞,尤其是拒絕服務(wù)(DoS)漏洞而言,在未進(jìn)行測試之前是很難斷言某個(gè)系統(tǒng)是否存在這些漏洞的。因此,我們只能使用一些工具來對網(wǎng)絡(luò)進(jìn)行攻擊。如果遭受攻擊之后系統(tǒng)仍然能夠正常響應(yīng),那么它沒有漏洞!對某個(gè)辦公網(wǎng)絡(luò)錯(cuò)誤地使用這類工具,可能帶來的影響是非常迅速地讓整個(gè)網(wǎng)絡(luò)無法正常工作。即使這樣的悲劇沒有發(fā)生,對某個(gè)系統(tǒng)使用攻擊工具和漏洞溢出程序也有可能造成誤傷,讓這一系統(tǒng)甚至整個(gè)網(wǎng)絡(luò)變得不穩(wěn)定,或者是造成其他無意的不良后果。作為一名網(wǎng)絡(luò)安全專家,他應(yīng)當(dāng)了解在何處劃定一條線,使他能夠?qū)W(wǎng)絡(luò)進(jìn)行某種程度的攻擊而不對它造成破壞,反之,一名網(wǎng)絡(luò)安全的業(yè)余愛好者通常不會(huì)考慮到這些因素。

  第三,網(wǎng)絡(luò)滲透測試需要專門的工具軟件,在很多情況下,這些工具并非可以隨處找到。盡管某些系統(tǒng)管理員完全具備編寫這些工具的能力,但是通常說來,將用于編寫工具的時(shí)間花在保護(hù)網(wǎng)絡(luò)上面效果會(huì)更好。

  第四,網(wǎng)絡(luò)滲透測試中為關(guān)鍵的部分??編寫測試結(jié)果報(bào)告,實(shí)際上是極其枯燥乏味的。在后面的敘述部分中,我們可以只注意對于攻擊描述的詳細(xì)程度是怎樣的。同時(shí)也請牢記在心,我們會(huì)故意將某些東西簡化,以避免為如何進(jìn)攻一個(gè)網(wǎng)絡(luò)提供完整的指導(dǎo)。與之相反,要編寫恰當(dāng)?shù)臐B透測試報(bào)告,滲透測試人員必須保留極為詳細(xì)的筆記,然后花費(fèi)幾個(gè)小時(shí)的時(shí)間來將它們合并成一份便于使用的文檔。測試報(bào)告必須足夠詳細(xì),使得其他人能夠理解攻擊過程,否則這一報(bào)告將不會(huì)有多少價(jià)值。

  以上幾點(diǎn)可以歸結(jié)為一句話:盡管了解入侵者是如何操作的、他們所依賴的操作實(shí)踐類型,以及他們采用的攻擊手段是非常關(guān)鍵的,但對于絕大多數(shù)的系統(tǒng)管理員及安全管理員來說,能夠?qū)嶋H地實(shí)施這些攻擊并非必需的。這如同欣賞藝術(shù)品一樣,與能夠創(chuàng)造它們相比是完全不同的要求。滲透測試是這樣的藝術(shù)品。我的建議是,把測試工作交給那些具備相應(yīng)技能、思維清晰并且有時(shí)間來學(xué)習(xí)如何有效進(jìn)行滲透的人。通常說來,這一任務(wù)好留給安全顧問們,因?yàn)樗麄兙邆浼寄堋⒐ぞ、頭腦,所以你對網(wǎng)絡(luò)的預(yù)先了解并不會(huì)影響他們。我們可以在郵件列表里,或者新聞組上面同其他公司的同事進(jìn)行交談,并了解哪些人是真正的滲透測試顧問。同樣要謹(jǐn)記在心的還有,應(yīng)用程序的滲透測試和網(wǎng)絡(luò)滲透測試是完全不同的兩種任務(wù)。原因很簡單,那些能夠在某些特定軟件產(chǎn)品中發(fā)現(xiàn)安全漏洞的人,并不一定能夠?qū)嵤⿲σ粋(gè)網(wǎng)絡(luò)的滲透攻擊。如果你感興趣的是網(wǎng)絡(luò)滲透測試的話,那么尋找那些專攻網(wǎng)絡(luò)滲透測試的公司。應(yīng)用程序的評估同樣是可以做到的,但這是另一種類型的任務(wù),目標(biāo)不同,而且它主要是針對那些進(jìn)行內(nèi)部軟件開發(fā)或使用定制軟件的公司。

  如果你在負(fù)責(zé)為一次滲透測試簽訂合同,那么你要留意的法律問題是什么呢?首先也是重要的,我們強(qiáng)調(diào)再多次也不為過:確保簽署這一滲透測試合同的人,具備授權(quán)某人入侵這一網(wǎng)絡(luò),也是授予“無罪釋放”令牌的權(quán)力。

  目前,有許多人之所以在監(jiān)獄服刑,是因?yàn)樗麄兦秩肓四切┧麄冊菊J(rèn)為自己有權(quán)侵入的系統(tǒng),然而不久之后他們認(rèn)識(shí)到,實(shí)際上他們并沒有這一權(quán)力。對于那些想找人來入侵某個(gè)他們無權(quán)進(jìn)入系統(tǒng)的人們,同樣的牢獄命運(yùn)也許等待著他們。

  其次,要確保你已經(jīng)具備了效力充分的不泄漏保證協(xié)議,而且這些安全顧問將不會(huì)被允許保留任何公司的敏感信息,除非處于極其嚴(yán)格的數(shù)據(jù)保護(hù)標(biāo)準(zhǔn)之下。糟糕的事情莫過于,花錢雇傭一些人來入侵你的網(wǎng)絡(luò),后卻發(fā)現(xiàn)網(wǎng)絡(luò)的設(shè)計(jì)圖被某人記錄下來,網(wǎng)絡(luò)的安全也隨后也被危及。而且,更危險(xiǎn)的是,這些人會(huì)利用公司的敏感信息并將其兜售給其他別有用心的人。

  再次,將這一測試報(bào)告視作一劑有益健康的“多疑癥注射劑”。當(dāng)這一報(bào)告來源于一次黑盒測試時(shí)(在測試中,測試人員不具備訪問內(nèi)部信息的權(quán)力,例如源代碼和賬號(hào)列表),這一點(diǎn)尤其正確,因?yàn)檫@恰好展示了在沒有內(nèi)部信息的情況下入侵者所能實(shí)施的行為。安全管理員可能犯下的大錯(cuò)誤是假設(shè)一切都沒有問題。

  后,請對“你的網(wǎng)絡(luò)是安全的”這類近乎虛構(gòu)的報(bào)告結(jié)論保持警覺。這一情況出現(xiàn)的頻率高得令人擔(dān)憂,基于他們無法滲透進(jìn)入任何系統(tǒng)的事實(shí),安全顧問會(huì)向你提交一份報(bào)告,其中宣稱這一網(wǎng)絡(luò)是安全的。這并不意味著你的網(wǎng)絡(luò)的確是安全的。如果某一名滲透測試人員告訴你,你的網(wǎng)絡(luò)是安全的,那么他的這一番話只能表明他的能力不足以證明網(wǎng)絡(luò)是不安全的。你的網(wǎng)絡(luò)其實(shí)并不安全。它僅僅對那些滲透測試人員了解如何利用的漏洞或問題有足夠的防護(hù)能力。合同中應(yīng)當(dāng)明確聲明,怎樣才能構(gòu)成一次成功的入侵,以及如果滲透測試人員無法完成一次入侵,酬金會(huì)減少多少。這里至關(guān)重要的一點(diǎn),漏洞分析工具的輸出結(jié)果并不能等同于一次網(wǎng)絡(luò)滲透測試。