企業(yè)越依賴網(wǎng)絡通信和基于云的數(shù)據(jù)系統(tǒng)，就越容易遭受外部攻擊者的攻擊和破壞。在考慮Web應用程序的數(shù)據(jù)安全問題時，確立滲透測試方法變得日益重要。

在設計和捍衛(wèi)安全系統(tǒng)時，如何確保這些系統(tǒng)正常運行?答案就在于構建一種滲透測試方法來保護信息資產(chǎn)。

什么是滲透測試

簡言之，滲透測試就是為了確定Web應用中的漏洞程度而對企業(yè)的最佳防御系統(tǒng)進行測試并利用其漏洞的一種可控的網(wǎng)絡攻擊。

從實質上說，設計和實施滲透測試方法可以使企業(yè)：

1. 在獲得授權的環(huán)境中主動地測試和攻擊自己的系統(tǒng)，其重點是IT基礎架構、操作系統(tǒng)漏洞、應用程序問題及用戶和配置錯誤等。

2. 分析和查驗系統(tǒng)防御以及用戶是否遵循系統(tǒng)協(xié)議。

3. 評估可能的攻擊源，如Web應用程序、無線網(wǎng)絡、設備、服務器等。

任何數(shù)據(jù)都不可能完全安全。但有效的滲透測試方法可以極大地清除一些不必要的漏洞。

滲透測試的好處

有效的滲透測試方法可以確認掃描軟件無法發(fā)現(xiàn)的漏洞，而且可以確定已有的網(wǎng)絡防御系統(tǒng)如何適時地檢測和響應攻擊，確定一次成功攻擊的危害程度，還可以確保遵循所有的數(shù)據(jù)安全合規(guī)協(xié)議。

認真對待滲透測試方法的另一個好處在于其對公司內部文化的潛在影響。企業(yè)的領導層展示出對數(shù)據(jù)安全的重視和要求，就會增強雇員對其重視的程度，后者也會盡最大努力遵循終端用戶協(xié)議。

多長時間進行一次滲透測試?

企業(yè)應經(jīng)常執(zhí)行有效的滲透測試。為避免將來遭受攻擊而丟失重要數(shù)據(jù)，安全管理者應積極地強化Web應用程序的防御。在計劃滲透測試方法時，不妨考慮一下企業(yè)所屬行業(yè)。并非每一家企業(yè)都有相同的安全需要，但公司有責任確保機密信息的安全性。

企業(yè)應經(jīng)常部署滲透測試方法，尤其要注意：

1.有些行業(yè)的特定規(guī)范要求經(jīng)常進行滲透測試。

2.對網(wǎng)絡基礎架構或Web應用程序進行的任何修改，其中可能涉及升級、更改、安全補丁、安裝新軟件或硬件、大修等。

3.策略變更。對于終端用戶來說，問題尤其如此。策略的變更會影響到用戶與Web應用交互的性質，從而帶來新挑戰(zhàn)。

4.企業(yè)遷移或增加新的辦公場所。其中涉及通過ISP而不是通過企業(yè)的安全網(wǎng)絡訪問Web應用程序的遠程雇員。

最后，在設計滲透測試方法時，保持謹慎很有必要。滲透測試的花費要遠遠小于數(shù)據(jù)泄露所造成的成本。

構建有效的滲透測試過程

在構建滲透測試方法時，必須記住滲透測試要求很多的信任。企業(yè)要找到一家既有經(jīng)驗又熟悉企業(yè)特定需要的供應商。

滲透測試實際上是要求供應商攻擊企業(yè)的系統(tǒng)，所以應當建立一些基本要求：

范圍：滲透測試針對的是企業(yè)的特定范圍還是總體?哪些人和哪些不屬于此范圍?

時間表：在測試期間，企業(yè)仍要正常運行，所以確定在什么時間執(zhí)行滲透測試非常重要。應將滲透測試的總體時間安排作為滲透測試方法的一個關鍵要素。

黑盒測試與白盒測試：在白盒測試中，滲透測試者可得到基本的實施測試的訪問和信息，然后由此開始查找并利用漏洞的過程。在黑盒測試中，測試者就像是外部的攻擊者一樣實施攻擊。

溝通：在測試涉及到的各方中建立溝通渠道是很重要的，因為溝通中出現(xiàn)的任何差錯都可能導致各種不可預料的后果。

上述問題是滲透測試方法的基礎，所以我們應謹慎考慮。

收集情報

在這個階段，供應商開始實施初步攻擊。如果計劃得當，供應商就可以明確攻擊什么和無法攻擊什么。

如果供應商沒有詳細地調查關于企業(yè)、員工、資產(chǎn)、負債的信息，其工作就做得不夠?；ㄙM在這個階段的時間很重要也會很多。

威脅建模

在收集了相關資料后，下一步就是使用這些信息構建公司及資產(chǎn)的完整模型。然后，確定主要和次要的目標資產(chǎn)，并做進一步調查。

資產(chǎn)牽涉到很多要素，其中包括企業(yè)數(shù)據(jù)(例如，策略、過程、商業(yè)秘密)、雇員和客戶數(shù)據(jù)、人員資產(chǎn)(可通過某種方式利用其弱點的高級雇員)等。在健全的滲透測試方法中，供應商不應偏向于其找到的某些資產(chǎn)，除非被要求這樣做。供應商應努力確認價值最高的資產(chǎn)。

漏洞分析

在確立了目標資產(chǎn)后，供應商就會確定利用這些資產(chǎn)漏洞的最佳入口。良好的滲透測試方法可以對項目范圍提供嚴格的指南，以確保滿足客戶所期望的結果。

有時，這種分析可以揭示所有的潛在漏洞。另外，供應商還會被要求針對特定的潛在問題進行滲透測試。徹底的滲透測試方法可以評估漏洞程度，其中包括漏洞水平及其可能暴露信息的敏感性。

漏洞利用及后續(xù)工作

滲透測試的下一步就是攻擊了。正如真實的數(shù)據(jù)泄露一樣，漏洞利用可以很快地實施和執(zhí)行。

在供應商獲得了系統(tǒng)的訪問權之后，就會設法避免被檢測，同時還要嘗試“特權提升”策略，以獲得更多的系統(tǒng)訪問和其它的潛在資源。

在實現(xiàn)目標之后，滲透測試進行到漏洞利用的后期階段，供應商會評估被攻擊系統(tǒng)或入口點的價值，并決定是否可以進一步利用其漏洞。

報告

很明顯，徹底的滲透測試在數(shù)據(jù)收集、數(shù)據(jù)分析、漏洞利用等方面需要花費大量的工作。但是，供應商該如何報告信息才能使企業(yè)將其轉換為可行動的解決方案呢?

要求具體建議：高級的建議可能會提供企業(yè)Web應用的基本環(huán)境配置情況，但對于具體實施的人來說卻沒有太大用處。

風險等級：很明顯，攻擊越難實施和完成，真正的攻擊者在實施時面臨的困難就會越多。供應商應提供一份詳細報告，指明其發(fā)現(xiàn)漏洞的風險等級，還要評估這些漏洞被利用后對企業(yè)產(chǎn)生的潛在影響。