社會(huì)工程測試應(yīng)該包含在滲透測試中嗎?

  問:社會(huì)工程應(yīng)該是滲透測試的一部分嗎?這樣做是道德的嗎?

  答:這個(gè)問題的答案還在爭論之中。以下盡量不偏頗地列出對這個(gè)尷尬問題的雙方的觀點(diǎn)。然后,我會(huì)談一下我的意見。

  有些安全專家堅(jiān)決認(rèn)為社會(huì)工廠測試不應(yīng)該成為滲透測試的一部分。原因是安全人員需要對企業(yè)的所有員工都非常信任。

  如果沒有這種信任,這些員工可能會(huì)忽視在滲透測試中的社會(huì)工程演習(xí)一部分的欺騙他們的人提出的建議。更糟的是,在這種測試中發(fā)現(xiàn)的缺乏良好的安全實(shí)踐的員工可能會(huì)被動(dòng)或者主動(dòng)地破壞他們的安全主動(dòng)性,并對整個(gè)企業(yè)的安全狀況的改善帶來不利影響。

  在這個(gè)問題的另一個(gè)方面,有些人認(rèn)為確保員工理解并遵守安全實(shí)踐至關(guān)重要,不必企業(yè)的技術(shù)結(jié)構(gòu)和配置的重要性低。即使有完美的安全技術(shù)(而這是不存在的),不遵守可靠的安全實(shí)踐的用戶可能會(huì)破壞整個(gè)企業(yè)。而且如果員工的做法沒有標(biāo)準(zhǔn),如何決定他們是不是合適呢?好的安全測量的方法之一是對目標(biāo)企業(yè)進(jìn)行等級(jí)式的社會(huì)工程攻擊,來看看他們?nèi)绾畏磻?yīng)。這樣的測試對員工的行為必調(diào)查或者測驗(yàn)有了更好的實(shí)際的了解,在調(diào)查或者測驗(yàn)中,員工的反應(yīng)總是像他們是模范市民。

  雖然我對雙方的觀點(diǎn)都很尊重,但是我更贊同第二種觀點(diǎn)。社會(huì)工程測試具有很高的啟迪作用,可以揭示目標(biāo)企業(yè)的安全意識(shí)中的不足。具體的發(fā)現(xiàn)可以幫助企業(yè)以更快更劃算的方式建立更好的安全意識(shí)。但是,這樣的測試的進(jìn)行必須要極端關(guān)注和專業(yè)精神。在開始任何社會(huì)工程測試之前,都要確定:

  ◆ 列出測試的內(nèi)容,并創(chuàng)建具體的測試假象腳本。

  ◆ 確定管理層預(yù)先同意在后的報(bào)告中不提及具體的員工姓名,測試應(yīng)該關(guān)注確定企業(yè)中的漏洞,以及對員工整體改善的建議,而不是查找有問題的個(gè)人。

  ◆ 記錄測試中的所有的交互動(dòng)作,但是不再后的報(bào)告中包括員工姓名。

  ◆ 考慮企業(yè)是否具有管理這種測試的專業(yè)技術(shù),或者還是應(yīng)該雇傭第三方。

  零了解滲透測試的贊成和反對理由是什么?

  問:如果測試人員不了解要進(jìn)行滲透測試網(wǎng)站,贊成和反對的理由是什么?在理想狀態(tài)下,測試人員應(yīng)該是什么也不知道嗎(為了更好的模仿攻擊者的思維模式)?

  答:對網(wǎng)站的滲透測試環(huán)境的零了解意味著滲透測試人員被告知很少的目標(biāo)信息,可能只有它的URL,因此可以模仿真實(shí)的攻擊者。

  雖然對于預(yù)算和辦公室政治的環(huán)境很有幫助,可以向老板提交報(bào)告證明即使不了解新網(wǎng)站的人也可以入侵進(jìn)入,但是我對零了解的方法還有一些保留意見。我們知道一定百分比的攻擊時(shí)來去網(wǎng)絡(luò)邊界內(nèi)部的,或者來自有內(nèi)部幫助的外部。如果你想要知道你的網(wǎng)站在所有現(xiàn)實(shí)情景中是否安全,零了解不是必須的好出發(fā)點(diǎn)。

  零了解的方法也有潛在的缺點(diǎn),它返回結(jié)果比較慢。如果預(yù)先對測試人員介紹了系統(tǒng)的某些基礎(chǔ),會(huì)節(jié)省時(shí)間,而在產(chǎn)品生產(chǎn)的時(shí)候,時(shí)間通常是緊張的。這里重要的變數(shù)之一是目標(biāo)的狀態(tài):是在生產(chǎn)還是在開發(fā)?當(dāng)測試產(chǎn)品系統(tǒng)的時(shí)候,你可能想要測試人員讓你盡快了解所發(fā)現(xiàn)的漏洞,而不是等后的報(bào)告。假設(shè)和測試人員的合同寫的很合適,你可能可以個(gè)給漏洞打補(bǔ)丁,并測試補(bǔ)丁。當(dāng)然,有人會(huì)說把滲透測試人員作為安全的改進(jìn)人員可以花少錢得到大的效果。

  后,不管你是否選擇從零了解出發(fā),記住在不觸犯法律的情況下你不可能真正的復(fù)制現(xiàn)實(shí)世界。你必須假定你的攻擊者準(zhǔn)備好了犯法來完成他們的目標(biāo),但是很多企業(yè)可以給滲透測試人員免死金牌。所以,你想要你的滲透測試人員可以和犯罪黑客一樣思考,并把非法滲透到系統(tǒng)的方法寫下來給你。

  底線是現(xiàn)實(shí)世界和滲透測試是兩個(gè)不同的事情。如果有安全專家定期對產(chǎn)品中的潛在漏洞進(jìn)行測試,而安全專家完全了解產(chǎn)品,而不是設(shè)置不現(xiàn)實(shí)的測試情景,你的安全資金可以以好的方式支出。