一個(gè)良好的滲透測(cè)試是什么組成的？

雖然執(zhí)行一個(gè)滲透測(cè)試有許多明顯的優(yōu)點(diǎn)——執(zhí)行滲透測(cè)試的價(jià)值在于它的結(jié)果。這些結(jié)果必須是有價(jià)值的，而且對(duì)于客戶來(lái)說(shuō)必須是很容易理解的。有一個(gè)常見的誤解是認(rèn)為滲透測(cè)試只是使用一些時(shí)髦的自動(dòng)化安全工具，并處理所生成的報(bào)告。但是，成功執(zhí)行一個(gè)浸透測(cè)試并不僅僅是需要安全工具。雖然這些自動(dòng)化安全測(cè)試工具在實(shí)踐中扮演了重要的角色，但是它們也是有缺點(diǎn)的。事實(shí)上，這些工具一直無(wú)法真正模擬一個(gè)高深攻擊者的行為。不管安全工具完成的報(bào)告有多么全面，其中總是有一些需要解釋的問(wèn)題。

讓我們看看構(gòu)成一個(gè)良好滲透測(cè)試的一些關(guān)鍵因素：

◆建立參數(shù)：定義工作范圍是執(zhí)行一個(gè)成功滲透測(cè)試的第一步，也是最重要的一步。這包括定義邊界、目標(biāo)和過(guò)程驗(yàn)證（成功條件）。

◆專業(yè)人員：配備技術(shù)熟練和經(jīng)驗(yàn)豐富的咨詢?nèi)藛T執(zhí)行測(cè)試——他們了解自己要做什么。換句話說(shuō)，專業(yè)人員與一般人員是不同的。要保證他們是：

能勝任的

經(jīng)驗(yàn)豐富的

遵守保密協(xié)議

◆選擇足夠的測(cè)試集：手工的和自動(dòng)的都會(huì)影響成功/效益之間的最佳平衡。

◆遵循正確的方法：這并不是猜謎游戲。所有方面都需要規(guī)劃、文檔化和符合要求。

◆結(jié)果值：結(jié)果應(yīng)該詳細(xì)地寫入文檔，并且要盡力使它們能被客戶所理解。不管是技術(shù)報(bào)告還是執(zhí)行總結(jié)，都需要一些注釋。應(yīng)用安排一些安全咨詢?nèi)藛T/測(cè)試人員來(lái)回復(fù)問(wèn)題或解釋結(jié)果。

◆測(cè)試結(jié)果與建議：這是滲透測(cè)試的一個(gè)非常重要的部分。最終的報(bào)告必須清晰地說(shuō)明成果，必須將成果與潛在的風(fēng)險(xiǎn)對(duì)應(yīng)。這應(yīng)該會(huì)附帶產(chǎn)生一個(gè)基于最佳安全實(shí)踐方法的修正路線圖。

在我們討論浸透測(cè)試中所使用的測(cè)試策略和技術(shù)之前，讓我們先看一些可能很有用的場(chǎng)景：

◆建立新的辦公室

不管是建立新的公司或增加新的辦公點(diǎn)，浸透測(cè)試都有助于確定網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的潛在漏洞。例如，在增加新辦公點(diǎn)時(shí)執(zhí)行內(nèi)部測(cè)試是非常重要的，因?yàn)樗鼤?huì)檢查網(wǎng)絡(luò)資源的可用性，并檢查這些辦公點(diǎn)之間傳輸?shù)牧髁款愋汀?/P>

◆部署新的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

每一個(gè)新的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)都應(yīng)該能模擬黑客行為進(jìn)行全面的測(cè)試。當(dāng)執(zhí)行外部測(cè)試（預(yù)先不太了解基礎(chǔ)架構(gòu)）來(lái)保證邊界安全性時(shí)，我們也應(yīng)該執(zhí)行內(nèi)部測(cè)試來(lái)保證網(wǎng)絡(luò)資源，如：服務(wù)器、存儲(chǔ)、路由和訪問(wèn)設(shè)備，在邊界受到攻擊時(shí)仍然是足夠安全的，而且基礎(chǔ)架構(gòu)是能夠抗拒任何攻擊的。

◆修改/升級(jí)現(xiàn)有的基礎(chǔ)架構(gòu)

修改是不可避免的——可能是軟件、硬件或網(wǎng)絡(luò)設(shè)計(jì)，由于需要功能改進(jìn)；修復(fù)重大缺陷和/或應(yīng)用新的需求，都可能引起修改/升級(jí)。不管現(xiàn)有的基礎(chǔ)架構(gòu)在什么時(shí)候發(fā)生變化，它都應(yīng)該再次測(cè)試，以保證不會(huì)出現(xiàn)新的漏洞。必要測(cè)試的數(shù)量取決于基礎(chǔ)架構(gòu)修改的特征和程度。細(xì)小的變化，如配置變更為特定規(guī)則，將只需要進(jìn)行端口掃描來(lái)保證預(yù)期的防火墻行為，而重大的變化，如關(guān)鍵設(shè)備/OS版本升級(jí)，可能就需要徹底重新測(cè)試。

◆部署新應(yīng)用

當(dāng)基礎(chǔ)架構(gòu)進(jìn)行徹底測(cè)試之后，新的應(yīng)用（不管是連接Internet的或是在Intranet中）在部署到生產(chǎn)環(huán)境之前也都必須進(jìn)行安全性測(cè)試。這個(gè)測(cè)試需要在“實(shí)際的”平臺(tái)上進(jìn)行，以保證這個(gè)應(yīng)用只使用預(yù)定義的端口，而且代碼本身也是安全的。

◆修改/升級(jí)一個(gè)現(xiàn)有應(yīng)用

隨著基本架構(gòu)發(fā)生變化，本質(zhì)上應(yīng)用也會(huì)發(fā)生變化。細(xì)小的變化，如用戶帳號(hào)修改，都不需要測(cè)試。但是，重大的變化，包括應(yīng)用功能變化，都應(yīng)該徹底重新測(cè)試。

◆定期重復(fù)測(cè)試

管理安全性并非易事，而公司不應(yīng)該認(rèn)為滲透測(cè)試就是所有安全問(wèn)題的最終解決辦法。如果這樣認(rèn)為，那么他們只是相信了假的安全性。對(duì)敏感系統(tǒng)定期執(zhí)行測(cè)試來(lái)保證不會(huì)出現(xiàn)不按計(jì)劃的變化，一直都是一個(gè)非常好的實(shí)踐方法。

【編輯推薦】

1. 企業(yè)內(nèi)部滲透測(cè)試節(jié)省預(yù)算的幾點(diǎn)建議
2. 滲透測(cè)試方法：創(chuàng)建一個(gè)網(wǎng)絡(luò)滲透協(xié)議測(cè)試