【51CTO.COM 獨(dú)家翻譯】為什么你要進(jìn)行滲透測(cè)試？無(wú)論是借助內(nèi)部團(tuán)隊(duì)、外部專家還是結(jié)合兩者，你是單單滿足監(jiān)管要求或?qū)徲?jì)要求？還是其實(shí)希望增強(qiáng)企業(yè)安全？

我們請(qǐng)教了滲透測(cè)試方面的幾位專家，指導(dǎo)你如何改進(jìn)計(jì)劃，以便付出去的時(shí)間、金錢和努力取得最大成效。如果你求助于外部專家，他們給出的建議會(huì)讓你明白對(duì)顧問(wèn)應(yīng)該有怎樣的期望和要求。下面這10個(gè)秘訣表明你需要明白滲透測(cè)試的目的和重點(diǎn)，制定高效的測(cè)試策略，有效地利用你的人員，以及最有效地利用滲透測(cè)試的結(jié)果，以便補(bǔ)救問(wèn)題、改進(jìn)流程以及不斷改善企業(yè)的安全狀況。

第1個(gè)秘訣：確定目的。

滲透測(cè)試（其實(shí)所有信息安全活動(dòng)）的目的是保護(hù)企業(yè)。說(shuō)白了就是，你充當(dāng)攻擊者的角色，查找安全漏洞，并且鉆漏洞的空子，從而查明企業(yè)面臨的風(fēng)險(xiǎn)，并且根據(jù)測(cè)試結(jié)果，給出相應(yīng)建議，以增強(qiáng)安全。攻擊者在試圖竊取你的數(shù)據(jù)——他們采用的技術(shù)只是達(dá)到目的的手段。滲透測(cè)試也是如此：目的倒不是說(shuō)你利用很酷的技術(shù)活來(lái)鉆漏洞的空子，而是發(fā)現(xiàn)企業(yè)在哪個(gè)環(huán)節(jié)面臨最大的風(fēng)險(xiǎn)。

InGuardians公司的創(chuàng)始人兼高級(jí)安全顧問(wèn)Ed Skoudis說(shuō)：“要是你無(wú)法從我公司的角度來(lái)進(jìn)行表述，那你無(wú)法給我?guī)?lái)價(jià)值。不要告訴我你鉆了某個(gè)漏洞的空子，獲得了某個(gè)硬件設(shè)備的外殼程序，卻不告訴我這對(duì)我公司來(lái)說(shuō)意味著什么。”

如果明白了這個(gè)道理，那么從更加戰(zhàn)術(shù)性的角度來(lái)看，滲透測(cè)試是個(gè)好方法，可以確定你的安全政策、控制措施和技術(shù)的實(shí)際效果有多好。貴公司把許多錢投入到安全產(chǎn)品上，給系統(tǒng)打補(bǔ)丁，以及確保端點(diǎn)安全等方面。作為滲透測(cè)試人員，你是在模仿攻擊者，試圖繞過(guò)或突破安全控制。

Core Security公司的創(chuàng)始人兼安全咨詢服務(wù)主管Alberto Solino說(shuō)：“你是想對(duì)公司好好評(píng)估一番，看看錢有沒(méi)有花在刀口上。”

目的不應(yīng)該是僅僅為滲透測(cè)試弄一份復(fù)選框，羅列相關(guān)內(nèi)容，以滿足合規(guī)要求，比如支付卡行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）。滲透測(cè)試的目的應(yīng)該不僅僅是查找漏洞（漏洞掃描應(yīng)該是滲透測(cè)試計(jì)劃的一部分，但代替不了滲透測(cè)試）。除非滲透測(cè)試是發(fā)現(xiàn)、利用和糾正安全漏洞的一項(xiàng)可持續(xù)計(jì)劃的一部分，否則就算你投入了財(cái)力和精力，換來(lái)的充其量還是表示通過(guò)的那個(gè)勾號(hào)；最糟糕的情況是，通不過(guò)目光敏銳的評(píng)估人員的審計(jì)。

第2個(gè)秘訣：關(guān)注數(shù)據(jù)。

無(wú)論你在進(jìn)行內(nèi)部測(cè)試，聘請(qǐng)外部顧問(wèn)，還是結(jié)合兩者，企業(yè)用于滲透測(cè)試的預(yù)算和資源都很有限。你做不到針對(duì)包括成百上千個(gè)設(shè)備的IT基礎(chǔ)設(shè)施進(jìn)行滲透測(cè)試，不過(guò)滲透測(cè)試人員常常會(huì)被要求試著攻擊一大段IP地址上的眾多設(shè)備。結(jié)果進(jìn)行的很可能是最草率的測(cè)試方法，幾乎沒(méi)有什么作用。你別指望能在合理的時(shí)間段里，以合理的成本，對(duì)數(shù)量非常多的設(shè)備進(jìn)行漏洞掃描、補(bǔ)救漏洞。

Verizon安全解決方案公司的全球產(chǎn)品經(jīng)理Omar Khawaja說(shuō)：“在許多情況下，客戶有成千上萬(wàn)個(gè)IP地址，希望我們對(duì)這么多地址進(jìn)行滲透測(cè)試。我們可以運(yùn)行漏洞測(cè)試，看看什么部分最脆弱，可是這對(duì)貴企業(yè)來(lái)說(shuō)可能不是最重要的。”

退一步問(wèn)一問(wèn)：“我要保護(hù)的是什么？”哪些關(guān)鍵數(shù)據(jù)面臨風(fēng)險(xiǎn)：是信用卡數(shù)據(jù)、病人信息、客戶的個(gè)人身份信息、商業(yè)計(jì)劃還是知識(shí)產(chǎn)權(quán)？這些信息在什么地方？你甚至知道含有敏感數(shù)據(jù)的每個(gè)數(shù)據(jù)庫(kù)、每個(gè)文件存儲(chǔ)庫(kù)和每個(gè)日志存儲(chǔ)區(qū)嗎？你也許不知道，但攻擊者很可能找得到。

所以，第一個(gè)關(guān)鍵的步驟是縮小滲透測(cè)試的范圍，重點(diǎn)關(guān)注數(shù)據(jù)發(fā)現(xiàn)：確定哪些敏感數(shù)據(jù)面臨風(fēng)險(xiǎn)，它們?cè)谀睦?。接下?lái)的任務(wù)是，扮演攻擊者的角色，搞清楚如何找出漏洞。

Core Security公司的Solino說(shuō)：“目的是模仿真正的攻擊者在一定時(shí)間段內(nèi)會(huì)對(duì)客戶搞什么破壞，而不是找出所有可能存在的問(wèn)題。”#p#

第3個(gè)秘訣：與業(yè)務(wù)負(fù)責(zé)人交流。

要與業(yè)務(wù)部門的人合作。他們知道什么面臨危險(xiǎn)，知道哪些數(shù)據(jù)很關(guān)鍵、哪些應(yīng)用程序在創(chuàng)建和聯(lián)系這些數(shù)據(jù)。他們至少知道數(shù)據(jù)放在哪些比較明顯的地方。他們還會(huì)告訴你哪些應(yīng)用程序必須保持正常運(yùn)行。

只有這樣，你才會(huì)基本上了解與某些應(yīng)用程序有關(guān)的威脅級(jí)別，以及風(fēng)險(xiǎn)等式中很重要的數(shù)據(jù)和資產(chǎn)具有的價(jià)值。

這個(gè)過(guò)程的一個(gè)重要方面是，與懂得應(yīng)用程序業(yè)務(wù)邏輯的人合作。知道應(yīng)用程序本該做什么、本該如何運(yùn)行，可以幫你找到應(yīng)用程序的漏洞，并鉆空子。

InGuardians公司的Skoudis說(shuō)：“先確定范圍，包括關(guān)鍵的信息資產(chǎn)和業(yè)務(wù)交易處理。然后與滲透測(cè)試團(tuán)隊(duì)和管理人員開(kāi)頭腦風(fēng)暴會(huì)。”

Skoudis還建議要求管理人員提出最壞情況的場(chǎng)景，“要是有人闖入了企業(yè)，可能發(fā)生的最糟糕事情是什么？”這種演練有助于查明“真正的寶貴數(shù)據(jù)”在哪里，從而確定項(xiàng)目范圍。

第4個(gè)秘訣：根據(jù)風(fēng)險(xiǎn)高低，進(jìn)行測(cè)試。

進(jìn)行哪種類型的測(cè)試，應(yīng)取決于數(shù)據(jù)/應(yīng)用程序的價(jià)值。對(duì)于低風(fēng)險(xiǎn)資產(chǎn)，定期的漏洞掃描無(wú)異于經(jīng)濟(jì)高效地利用資源。中等風(fēng)險(xiǎn)的資產(chǎn)可能需要結(jié)合漏洞掃描和手動(dòng)的漏洞檢查。至于高風(fēng)險(xiǎn)資產(chǎn)，應(yīng)進(jìn)行滲透測(cè)試，尋找可利用的漏洞。

比如說(shuō)，一所大型大學(xué)的安全主管說(shuō)，他們已開(kāi)始進(jìn)行滲透測(cè)試，以滿足PCI DSS的要求。一旦這項(xiàng)計(jì)劃落實(shí)到位，就成了用于測(cè)試潛在攻擊者潛入大學(xué)系統(tǒng)的能力的典范。該大學(xué)將數(shù)據(jù)分為公共數(shù)據(jù)、內(nèi)部數(shù)據(jù)、敏感數(shù)據(jù)和高度敏感數(shù)據(jù)這幾類。

他說(shuō)：“對(duì)于高度敏感的信息，我們進(jìn)行了滲透測(cè)試，遵守幾乎與PCI一樣的準(zhǔn)則。我們?cè)诖嘶A(chǔ)上深入了一步，根據(jù)一些具體的標(biāo)準(zhǔn)和一些主觀判斷，看看要對(duì)系統(tǒng)進(jìn)行哪種級(jí)別的滲透測(cè)試——如果需要滲透測(cè)試的話。”

比如說(shuō)，對(duì)于風(fēng)險(xiǎn)比較低的信息，該大學(xué)將測(cè)試隨機(jī)抽選的系統(tǒng)及/或應(yīng)用程序，具體要看時(shí)間和預(yù)算的緊張程度。由于校園網(wǎng)絡(luò)上有幾千個(gè)設(shè)備，即便對(duì)它們都進(jìn)行低級(jí)掃描也是行不通的。

這名安全主管說(shuō)：“你可以測(cè)試有明確所有者和系統(tǒng)管理員的業(yè)務(wù)系統(tǒng)。但是如果你有3000臺(tái)Wii連接到網(wǎng)絡(luò)上，你不應(yīng)該掃描那些設(shè)備、弄清楚它們分別屬于誰(shuí)。”#p#

第5個(gè)秘訣：了解攻擊者的概況。

你的滲透測(cè)試人員在想法和行為上都要與真正的攻擊者無(wú)異。但攻擊者不屬于好人這一類。要了解潛在攻擊者的概況。

外部攻擊者對(duì)貴公司可能所知甚少，可能就知道一些IP地址。但他們可能是前任員工，或者效力于貴公司的合作伙伴或服務(wù)提供商，所以對(duì)你網(wǎng)絡(luò)的內(nèi)部情況相當(dāng)了解。內(nèi)部攻擊者可能是擁有訪問(wèn)和授權(quán)特權(quán)的系統(tǒng)管理員或數(shù)據(jù)庫(kù)管理員，知道關(guān)鍵數(shù)據(jù)在什么地方。

了解攻擊者概況時(shí)要考慮的一個(gè)因素是動(dòng)機(jī)。攻擊者覬覦的是可以變成現(xiàn)金的信用卡號(hào)碼和個(gè)人身份信息？還是可以賣給競(jìng)爭(zhēng)對(duì)手或獲得商業(yè)優(yōu)勢(shì)的知識(shí)產(chǎn)權(quán)？攻擊者想破壞你的Web應(yīng)用程序，可能出于政治目的或競(jìng)爭(zhēng)目的。他可能是怒氣沖沖的前任員工，想“對(duì)貴公司進(jìn)行報(bào)復(fù)”。

應(yīng)該與業(yè)務(wù)負(fù)責(zé)人合作，幫助了解這些概況，打探哪些類型的潛在攻擊者是他們感到最擔(dān)心的。

概況可以縮小滲透測(cè)試的關(guān)注范圍；測(cè)試內(nèi)容會(huì)不一樣，具體取決于每一種攻擊者概況。

Core Security公司的Solino說(shuō)：“我們基本了解了某個(gè)攻擊者會(huì)對(duì)目標(biāo)搞什么破壞，對(duì)此我們分得很清楚。針對(duì)每一種概況，我們獲得滲透測(cè)試的結(jié)果，然后再了解另一種概況。”

第6個(gè)秘訣：掌握的信息越多越好。

無(wú)論是實(shí)際攻擊，還是滲透測(cè)試，收集信息都是整個(gè)過(guò)程的一個(gè)部分，旨在查找諸設(shè)備、操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫(kù)等。你對(duì)某個(gè)目標(biāo)及與它連接的系統(tǒng)了解越多，潛入進(jìn)去的可能性就越大。

每一步都可能會(huì)得到有價(jià)值的信息，以便你攻擊另一個(gè)資產(chǎn)，直到最終進(jìn)入你瞄準(zhǔn)的數(shù)據(jù)庫(kù)和文件共享區(qū)等目標(biāo)。獲得的信息讓你可以縮小搜索可利用漏洞的范圍。通常可以使用自動(dòng)化的掃描和繪圖工具，來(lái)進(jìn)行這種偵察；但你也可以使用社會(huì)工程學(xué)方法，比如在電話一頭冒充技術(shù)支持人員或承包商，收集有價(jià)值的信息。

Verizon公司的Khawaja說(shuō)：“我們?cè)絹?lái)越多地開(kāi)始采用社會(huì)工程學(xué)方法。這實(shí)際上是一種偵察手段（在客戶許可的情況下進(jìn)行），讓我們得以在環(huán)境中找到可以幫助我們潛入進(jìn)去的每個(gè)薄弱環(huán)節(jié)。”

多階段的滲透測(cè)試通常是重復(fù)進(jìn)行偵察、評(píng)估漏洞和利用漏洞，每一步都為你提供更深入地滲透到網(wǎng)絡(luò)的信息。#p#

第7個(gè)秘訣：考慮所有攻擊途徑。

攻擊者能利用而且會(huì)利用IT基礎(chǔ)設(shè)施不同方面的漏洞，或單槍匹馬，或合伙行動(dòng)（后者更常見(jiàn)），以便獲得他們尋找的數(shù)據(jù)。

全面深入的滲透測(cè)試會(huì)根據(jù)攻擊者的最終目的，而不是根據(jù)每個(gè)攻擊途徑的脆弱性，逐一測(cè)試所有這些潛在的攻擊途徑。

Solino說(shuō)：“要是幾年前，我們會(huì)進(jìn)行網(wǎng)絡(luò)滲透測(cè)試、應(yīng)用滲透測(cè)試和無(wú)線滲透測(cè)試；后來(lái)我們退一步說(shuō)‘這么做毫無(wú)意義’。壞人才不說(shuō)‘我只能通過(guò)網(wǎng)絡(luò)闖入到系統(tǒng)’。”

成功的滲透測(cè)試與真實(shí)的攻擊一樣，可能會(huì)用到許多途徑，涉及好多步驟，直到發(fā)現(xiàn)有空子可鉆的目標(biāo)。一臺(tái)打印服務(wù)器似乎不是特別值得關(guān)注，但它可能使用與含有信用卡資料的數(shù)據(jù)庫(kù)同樣的管理員登錄信息。

InGuardians公司的Skoudis說(shuō)：“滲透測(cè)試人員找到漏洞后鉆空子，然后從這臺(tái)機(jī)器跳轉(zhuǎn)到另一臺(tái)機(jī)器，再跳轉(zhuǎn)到下一臺(tái)機(jī)器。”

對(duì)Web應(yīng)用程序發(fā)動(dòng)攻擊后可能鉆不了空子，但得到的信息有助于利用網(wǎng)絡(luò)上其他資產(chǎn)的漏洞?；蛘?，攻擊者可能會(huì)獲得沒(méi)有很高權(quán)限，但可以訪問(wèn)內(nèi)部網(wǎng)絡(luò)的員工方面的信息，然后以此作為跳板。

所以，某個(gè)關(guān)鍵資源也許無(wú)法直接下手，但可能會(huì)因其他系統(tǒng)來(lái)受到危及。

Khawaja表示，比如說(shuō)，Verizon公司的滲透測(cè)試人員無(wú)法直接闖入可以訪問(wèn)敏感數(shù)據(jù)庫(kù)的Web服務(wù)器。如果測(cè)試人員的目光局限于測(cè)試這臺(tái)服務(wù)器上的Web應(yīng)用程序，那么得出的結(jié)論會(huì)是：數(shù)據(jù)是安全的。但如果站在以數(shù)據(jù)為中心的角度，他們會(huì)發(fā)現(xiàn)與這臺(tái)Web服務(wù)器連接的第二臺(tái)Web服務(wù)器有一個(gè)重大漏洞，攻擊者可以利用該漏洞來(lái)訪問(wèn)第一臺(tái)Web服務(wù)器，進(jìn)而訪問(wèn)那個(gè)敏感數(shù)據(jù)庫(kù)。

他說(shuō)：“只要與我們?cè)诠舻木W(wǎng)段沒(méi)有隔離開(kāi)來(lái)的系統(tǒng)，我們都關(guān)注。有沒(méi)有任何網(wǎng)絡(luò)控制措施來(lái)防止攻擊者從一個(gè)易受攻擊的低價(jià)值系統(tǒng)跳轉(zhuǎn)到一個(gè)比較關(guān)鍵的系統(tǒng)？”

話雖如此，還是有必要針對(duì)特定的攻擊途徑進(jìn)行測(cè)試。比如說(shuō)，一家公司可能特別擔(dān)心無(wú)線安全，因?yàn)樗乐白约涸谶@方面有些松懈，或者可能最近安裝或升級(jí)了無(wú)線局域網(wǎng)基礎(chǔ)設(shè)施。但是就算你確信某一個(gè)途徑很安全——比如說(shuō)，如果無(wú)線網(wǎng)絡(luò)與信用卡數(shù)據(jù)庫(kù)隔離開(kāi)來(lái)，也不要太肯定。因?yàn)?，攻擊途徑可能錯(cuò)綜復(fù)雜。

第8個(gè)秘訣：確定交戰(zhàn)規(guī)則。

滲透測(cè)試模擬攻擊行為，但它不是一種攻擊。無(wú)論你在內(nèi)部進(jìn)行測(cè)試，還是交由外部顧問(wèn)測(cè)試，都需要制定規(guī)則，確定什么可以做，什么不可以做，什么時(shí)候做，誰(shuí)需要知道內(nèi)情。

后者取決于你在進(jìn)行白盒測(cè)試（white box testing），還是黑盒測(cè)試（black box testing。若是前一種情況，可能要承認(rèn)這一點(diǎn)：公司（或者某個(gè)部門或業(yè)務(wù)單位）的安全計(jì)劃需要大量工作，而且滲透測(cè)試是各有關(guān)方都知道的公開(kāi)過(guò)程。

另一方面，黑盒測(cè)試顯得比較秘密，測(cè)試起來(lái)更像是真正的攻擊——只有參與測(cè)試的人知道內(nèi)情，外人完全不知道。你要確定公司的員工多稱職、流程及其支持系統(tǒng)的效果有多好。

Verizon公司的Khawaja說(shuō)：“無(wú)論是運(yùn)營(yíng)中心、調(diào)查響應(yīng)團(tuán)隊(duì)還是保安人員，每個(gè)人都要裝作滲透測(cè)試的那天是辦公室的平常一天。”

許多公司通常會(huì)先進(jìn)行白盒測(cè)試，了解要解決的安全問(wèn)題。隨后，黑盒測(cè)試將有助于確定最初發(fā)現(xiàn)的漏洞是不是得到了有效補(bǔ)救。比如說(shuō)，有時(shí)首席安全官不但需要知道關(guān)鍵系統(tǒng)有多脆弱，還需要了解下屬在檢測(cè)和響應(yīng)攻擊方面的能力有多強(qiáng)。

不管怎樣，要把情況告知某些關(guān)鍵的人，避免出現(xiàn)可能影響業(yè)務(wù)或破壞測(cè)試的問(wèn)題。InGuardians公司的Skoudis表示，目標(biāo)環(huán)境中負(fù)責(zé)變更控制流程的人當(dāng)中至少一人要了解內(nèi)情。比如說(shuō)，按照交戰(zhàn)規(guī)則（rules of engagement），公司可以允許滲透測(cè)試人員將軟件安裝到目標(biāo)設(shè)備上，進(jìn)行更深入的跳轉(zhuǎn)測(cè)試，但至少要告知那個(gè)人，確保測(cè)試人員不會(huì)因?yàn)閺穆酚善鞯脑L問(wèn)控制列表（ACL）刪掉IP地址，或運(yùn)用防火墻規(guī)則而遭到阻止。

在白盒測(cè)試和黑盒測(cè)試這兩種場(chǎng)景下，Skoudis建議每天與測(cè)試的相關(guān)人員開(kāi)簡(jiǎn)會(huì)，讓他們知道測(cè)試人員在做什么。比如說(shuō)，交戰(zhàn)規(guī)則可能允許滲透測(cè)試人員利用漏洞，但開(kāi)簡(jiǎn)會(huì)能起到提醒作用，好讓大家心里有數(shù)。

他說(shuō)：“開(kāi)簡(jiǎn)會(huì)起到了溝通作用。它表明滲透測(cè)試人員不是外面‘來(lái)抓我’的一幫壞人。目的就是做到透明、公開(kāi)。”

交戰(zhàn)規(guī)則還可能限定哪些系統(tǒng)的漏洞可以利用、哪些不可以，比如客戶機(jī)；或者限定哪些攻擊手法可以用、哪些不可以用，比如社會(huì)工程學(xué)。#p#

第9個(gè)秘訣：報(bào)告測(cè)試結(jié)果，并衡量進(jìn)度。

滲透測(cè)試的目的是為了改善安全狀況，所以如果你在進(jìn)行內(nèi)部測(cè)試，測(cè)試報(bào)告應(yīng)該會(huì)提供實(shí)用而具體的信息，以便你付諸實(shí)際行動(dòng)。

InGuardians公司的Skoudis說(shuō)：“目的是有助于增強(qiáng)安全性，以便管理人員做決定來(lái)改進(jìn)業(yè)務(wù)，并且?guī)椭\(yùn)營(yíng)團(tuán)隊(duì)增強(qiáng)安全性。”

你應(yīng)該出示一份測(cè)試摘要，不過(guò)報(bào)告重點(diǎn)應(yīng)包括詳細(xì)描述這些方面的內(nèi)容：發(fā)現(xiàn)的漏洞，如何利用這些漏洞，以及萬(wàn)一真的發(fā)生攻擊，哪些資產(chǎn)面臨風(fēng)險(xiǎn)。詳細(xì)介紹用來(lái)滲透的每個(gè)步驟、被利用的每個(gè)漏洞，最重要的可能是所有攻擊途徑。

Core Security公司的Solino說(shuō)：“找出攻擊途徑的意義在于，可以通過(guò)破壞途徑來(lái)解決具體問(wèn)題。”

建議措施一定要非常具體。如果需要改變架構(gòu)，還要附上圖表。解釋如何證實(shí)解決方法已落實(shí)到位（可以用工具來(lái)衡量）。在涉及多個(gè)系統(tǒng)的情況下，還要解釋如何批量部署解決方法，盡可能使用組策略對(duì)象（GPO）。

確保每個(gè)建議的補(bǔ)救措施都附有注意事項(xiàng)：先全面深入地測(cè)試解決方法，之后才可落實(shí)到生產(chǎn)環(huán)境中。因?yàn)槠髽I(yè)的IT基礎(chǔ)設(shè)施可能非常復(fù)雜。

Skoudis說(shuō)：“這是個(gè)大問(wèn)題。因?yàn)槟悴恢浪屑?xì)微之處；你不應(yīng)該破壞正常生產(chǎn)。”

滲透測(cè)試不應(yīng)該是一次性的演練，應(yīng)該對(duì)比連續(xù)幾次測(cè)試的結(jié)果。如果你在進(jìn)行內(nèi)部測(cè)試，就要把變化部分放在一起，評(píng)估你的人員在如何解決問(wèn)題。要是最近一兩次測(cè)試發(fā)現(xiàn)的問(wèn)題依然沒(méi)有得到解決，這表明貴企業(yè)可能有問(wèn)題。也許是軟件補(bǔ)丁計(jì)劃沒(méi)有起到應(yīng)有的效果，也許是開(kāi)發(fā)人員沒(méi)有經(jīng)過(guò)編寫(xiě)安全代碼方面的相應(yīng)培訓(xùn)。

上面提到的那位大學(xué)安全主管說(shuō)：“我們尋找的是趨勢(shì)。就像你對(duì)待審計(jì)報(bào)告那樣。要是測(cè)試發(fā)現(xiàn)的是同樣一些漏洞，這表明可能存在比較嚴(yán)重的問(wèn)題。”

第10個(gè)秘訣：決定誰(shuí)是滲透測(cè)試人員。

決定要不要由內(nèi)部的工作人員進(jìn)行滲透測(cè)試，這得看貴公司的規(guī)模、竭力保護(hù)的信息具有的價(jià)值，以及想把內(nèi)部資源投入到哪些方面。有些公司在安全部門下面可能還設(shè)有專門的滲透測(cè)試團(tuán)隊(duì)或小組。內(nèi)部團(tuán)隊(duì)更有條件進(jìn)行定期測(cè)試。要是貴公司規(guī)模龐大，組織結(jié)構(gòu)分散，應(yīng)制定相應(yīng)機(jī)制，倡導(dǎo)可以共享信息的環(huán)境。

Verizon公司的Khawaja說(shuō)：“如果你的內(nèi)部團(tuán)隊(duì)能夠共享信息，就要確保他們有一個(gè)強(qiáng)大的知識(shí)庫(kù)，并依托成熟的知識(shí)管理系統(tǒng)。你要確保你在比利時(shí)的部門遭到的攻擊不會(huì)出現(xiàn)在巴西的部門。”

即使你進(jìn)行一些內(nèi)部測(cè)試，也有充足的理由需要聘請(qǐng)顧問(wèn)進(jìn)行至少一部分測(cè)試。有些法規(guī)要求必須由外部公司進(jìn)行滲透測(cè)試；還要考慮到這點(diǎn)：內(nèi)部人員可能非常了解目標(biāo)系統(tǒng)，而且測(cè)試結(jié)果關(guān)系到他們的切身利益。所以，除合規(guī)要求之外，定期從外面請(qǐng)顧問(wèn)來(lái)測(cè)試是個(gè)好想法。

出于同樣的原因，如果你真從外面聘請(qǐng)測(cè)試顧問(wèn)，要記得不時(shí)更換廠商，就像每過(guò)幾年要更換審計(jì)人員那樣。

那位大學(xué)安全主管說(shuō)：“如果從外面請(qǐng)人來(lái)，測(cè)試結(jié)果就更讓人放心了。因?yàn)椴淮嬖谑裁蠢鏇_突。”

至于你的內(nèi)部團(tuán)隊(duì)，要找既知識(shí)面廣、又有好奇心的員工。

Core Security公司的Solino表示，有望成為滲透測(cè)試人員的優(yōu)秀培訓(xùn)對(duì)象要深入了解各種網(wǎng)絡(luò)和應(yīng)用協(xié)議，這是基礎(chǔ)。他通常注重好奇心和黑客的心理素質(zhì)。

“既要有IT知識(shí)，還要具備不相信系統(tǒng)是安全的態(tài)度，主張‘大膽試一試！’’。”

Skoudis說(shuō)：“滲透測(cè)試是門藝術(shù)。雖說(shuō)有一些工具和方法，但你在尋找目標(biāo)系統(tǒng)和應(yīng)用程序存在的問(wèn)題時(shí)一定要有創(chuàng)意、有想法。”

來(lái)源：http://www.csoonline.com/article/636040/penetration-tests-10-tips-for-a-successful-program

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. 什么是網(wǎng)絡(luò)滲透測(cè)試
2. 安全測(cè)試以及安全測(cè)試與滲透測(cè)試的區(qū)別
3. 滲透測(cè)試公司發(fā)現(xiàn)ColdFusion管理頁(yè)漏洞
4. 滲透測(cè)試中使用哪些技術(shù)方法？