成功執(zhí)行滲透測(cè)試的其一個(gè)主要因素是底層的方法。缺少正式的方法意味著沒(méi)有一致性——我很確定這一點(diǎn)——你一定不希望成為那個(gè)受邀卻無(wú)視測(cè)試人員漫無(wú)目的地操作的人。雖然滲透測(cè)試人員需要有適合的專(zhuān)業(yè)技術(shù)，但也不能缺少正確的方法。換句話說(shuō)，一個(gè)正式的方法應(yīng)該能夠提供一個(gè)用于構(gòu)建完整且準(zhǔn)確的滲透測(cè)試的嚴(yán)格框架，但是不能夠有限制——它應(yīng)該允許測(cè)試人員充分發(fā)揮各自的聰明才智。

由Pete Herzog提出的Open Source Security Testing Methodology Manual (OSSTMM)已經(jīng)成為執(zhí)行滲透測(cè)試和獲得安全基準(zhǔn)的事實(shí)方法。根據(jù)Pete Herzog的觀點(diǎn)，“OSSTMM的主要目標(biāo)是實(shí)現(xiàn)透明度。它實(shí)現(xiàn)了對(duì)那些不具備充足安全配置和政策的人的透明度。它實(shí)現(xiàn)了對(duì)那些沒(méi)有執(zhí)行足夠安全性和滲透測(cè)試的人的透明度。它實(shí)現(xiàn)了對(duì)那些已經(jīng)很缺乏安全預(yù)算的犧牲者仍然盡力壓榨其每一分預(yù)算的無(wú)良安全供應(yīng)商的透明度；以及對(duì)那些回避商業(yè)價(jià)值而炒作法律規(guī)范、網(wǎng)絡(luò)破壞和黑客等威脅的人的透明度。OSSTMM的滲透測(cè)試范疇包括從初始需求分析到生成報(bào)告的整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程?！边@個(gè)測(cè)試方法包含了六個(gè)方面：

◆信息安全性

◆過(guò)程安全性

◆Internet技術(shù)安全性

◆通信安全性

◆無(wú)線安全性

◆物理安全性

OSSTMM關(guān)注測(cè)試項(xiàng)的技術(shù)細(xì)節(jié)，在安全必測(cè)試之前、期間和之后需要做什么，以及如何界定結(jié)果。針對(duì)國(guó)際化最初實(shí)踐方法、法律、規(guī)章和道德問(wèn)題的新測(cè)試都會(huì)定期增加和更新。

National Institute of Standards and Technology (NIST)在Special Publication 800-42, Guideline on Network Security Testing中討論了滲透測(cè)試。NIST的方法雖然不及OSSTMM全面，但是它更可能被管理部門(mén)所接受。

另一個(gè)需要注意的方面是滲透測(cè)試服務(wù)提供商。每一個(gè)單位在滲透測(cè)試過(guò)程中最擔(dān)心的一個(gè)問(wèn)題是敏感信息可能通過(guò)錯(cuò)誤的路徑。因此，收集盡可能多關(guān)于公司的信息變得非常重要（如他們的技術(shù)能力、證書(shū)、經(jīng)驗(yàn)、方法和所使用的工具），并且要保證他們是專(zhuān)業(yè)人員。此外，有一些專(zhuān)業(yè)的官方證書(shū)可以表明公司的可信賴程度及其與行業(yè)最佳實(shí)踐的一致性。

滲透測(cè)試標(biāo)準(zhǔn)

讓我們看一些現(xiàn)有的標(biāo)準(zhǔn)和準(zhǔn)則：

信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)（ISACA）：ISACA是在1967年成立的，并且成為領(lǐng)先的全球性信息管理、控制、安全和審計(jì)專(zhuān)家組織。它的IS審計(jì)和IS控制標(biāo)準(zhǔn)得到了世界范圍的實(shí)踐應(yīng)用，而且它的研究能精確定位威脅它組成成分的專(zhuān)業(yè)問(wèn)題。CISA，即Certified Information Systems Auditor，是ISACA的基礎(chǔ)認(rèn)證。

CHECK：CESG IT Health Check模式是專(zhuān)門(mén)用于保證敏感管理網(wǎng)絡(luò)和那些組成GSI（Government Secure Intranet）和CNI（Critical National Infrastructure）的組件是安全的且經(jīng)過(guò)較高級(jí)別的測(cè)試。這個(gè)方法的目標(biāo)是發(fā)現(xiàn)IT系統(tǒng)和網(wǎng)絡(luò)中發(fā)現(xiàn)可能威脅IT系統(tǒng)信息的保密性、完整性和可用性的漏洞。只有在需要對(duì)HMG或相關(guān)部分測(cè)試時(shí)才需要CHECK咨詢公司的參與，并且他們也要滿足以上要求。CHECK已經(jīng)成了滲透測(cè)試及UK內(nèi)滲透測(cè)試的事實(shí)標(biāo)準(zhǔn)。屬于CHECK的公司必須擁有明確安全性且通過(guò)CESG Hacking Assault Course的員工。然而，除了UK Government協(xié)會(huì)，下面所介紹的開(kāi)源方法也是可行且全面替代方法。

OSSTMM：Open Source Security Testing Methodology Manual的目標(biāo)是為Internet安全測(cè)試創(chuàng)建一個(gè)標(biāo)準(zhǔn)。它將構(gòu)成這種測(cè)試的綜合基線，保證執(zhí)行徹底和全面的滲透測(cè)試。這能夠使客戶確定與其它組織問(wèn)題無(wú)關(guān)的技術(shù)評(píng)估級(jí)別，如滲透測(cè)試提供者的企業(yè)資料。

OWASP：Open Web Application Security Project (OWASP)是一個(gè)開(kāi)源社區(qū)項(xiàng)目，它通過(guò)開(kāi)發(fā)軟件工具和知識(shí)文檔來(lái)幫助人員實(shí)現(xiàn)Web應(yīng)用和Web服務(wù)的安全性。OWASP是系統(tǒng)架構(gòu)師、開(kāi)發(fā)人員、供應(yīng)商、用戶和安全專(zhuān)業(yè)人員在設(shè)計(jì)、開(kāi)發(fā)、部署和測(cè)試Web應(yīng)用和Web服務(wù)時(shí)可以使用的開(kāi)源參考點(diǎn)?？偠灾琌pen Web Application Security Project 的目標(biāo)是幫助所有人創(chuàng)建更安全的Web應(yīng)用和Web服務(wù)。

結(jié)論

安全性是連續(xù)的，而非絕對(duì)的。滲透測(cè)試的價(jià)值在于它產(chǎn)生的結(jié)果——這也就是回答“為什么”這樣一個(gè)大問(wèn)題的答案。一個(gè)成功的滲透測(cè)試不只是能發(fā)現(xiàn)某一個(gè)特殊缺點(diǎn)，它還能在一開(kāi)始就確定產(chǎn)生漏洞的過(guò)程錯(cuò)誤。修復(fù)或修補(bǔ)所探測(cè)的漏洞并不意味著你就不再有安全問(wèn)題了，或者高枕無(wú)憂了——這只是無(wú)限循環(huán)過(guò)程的開(kāi)頭而已。

CRUX：一個(gè)滲透測(cè)試并不能保證絕對(duì)安全——它只是實(shí)現(xiàn)安全性的一個(gè)措施。所以，“絕不要對(duì)安全性產(chǎn)生誤判”。

【編輯推薦】

1. 滲透測(cè)試方法：創(chuàng)建一個(gè)網(wǎng)絡(luò)滲透協(xié)議測(cè)試
2. 滲透測(cè)試的種類(lèi)介紹