偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

【廉環(huán)話】漫談信息安全設(shè)計與治理之滲透測試報告

原創(chuàng)
安全 應(yīng)用安全
我們信息安全與下圍棋有著相通之處。圍棋有“金角銀邊草肚皮”,系統(tǒng)安全同樣也從邊界防護開始著手。而滲透測試則更像是我們平時“打棋譜”一樣,不斷通過模擬攻防、揣摩改進以培養(yǎng)對整體系統(tǒng)安全的全局掌控能力。

【51CTO.com原創(chuàng)稿件】自從上一期,我們開始談到滲透測試以后,就有細(xì)心的朋友心生疑問的私信我:“上次聊的滲透測試怎么和我們平時接觸到的不太一樣啊?我可能看了假的‘廉環(huán)話’嗎?”看來我要趕快出來澄清一下了:朋友,您看得沒錯也問得非常好。因為上次是從完全模擬陌生攻擊者的角度來進行的“黑盒”盲測;而大家平時工作中與審計人員所接觸到比較多的應(yīng)該是“灰盒”測試。那么為了保持本漫談的完整性,哥對這種“灰帽子”的滲透測試也和大家聊聊吧。借用我當(dāng)年高中老師們的那句口頭禪:“來,我們直接看重點!”

【廉環(huán)話】漫談信息安全設(shè)計與治理之滲透測試報告

其中準(zhǔn)確性上容易失真的當(dāng)屬“社會工程學(xué)與安全意識”測試了。由于可能事先走漏風(fēng)聲、或是采集的“樣本”不夠豐富、亦或測試的時間不夠充沛,都可能產(chǎn)生企業(yè)員工安全意識強的假象。所以說技術(shù)只能幫你發(fā)現(xiàn)客觀存在的漏洞,意識則可以決定漏洞如何被利用。就算企業(yè)通過了此環(huán)節(jié)的測試,也只是一個短暫平衡態(tài),或根本就是一個“幸存者偏差”。因此相關(guān)培訓(xùn)和B輪、C輪測試必須成為一種常態(tài)。

最近很流行“下半場”的說法,那么廉哥接下來就繼續(xù)跟大家來聊滲透測試的下半場—測試報告吧。經(jīng)過了前面模擬攻擊者的行為測試,我們安全人員需要最終整理出一份測試報告。就像那個經(jīng)典的說法:“人們想買的不是一個鉆孔機,而是想在墻上打一個孔”一樣,請記住:我們報告不能寫得太文藝、也不能寫得過于學(xué)術(shù)化,畢竟它只是一個說明企業(yè)安全態(tài)勢的工具。下面具體我們來看看每個章節(jié)應(yīng)該注意些什么吧。

報告對象

記得猶太文化里有個諺語就說過:世界上最難的有兩件事:一是把別人口袋里的錢拿到自己的口袋里,二是把自己腦袋里的東西塞到別人的腦袋里。這說明達(dá)到思想上的認(rèn)同絕非易事。如果您不知道該報告的受眾和其關(guān)注點,那么從報告人自身的角度定義一個報告的脈絡(luò)or結(jié)構(gòu)是非常重要的。這樣才會讓讀者有“帶入感”并隨之產(chǎn)生共鳴。

當(dāng)然,根據(jù)我的經(jīng)驗,至少有兩種類型的人會閱讀我們的測試報告:管理層和IT技術(shù)人員。而實際上管理層是不愿通篇閱讀當(dāng)然也是讀不懂測試報告的。他們只想通過目測漏洞列表條目的數(shù)量和測試結(jié)論,來快速獲悉“我們現(xiàn)在到底安不安全?”而IT技術(shù)人員則對會各條漏洞分析尤為重視。他們時常懷揣著一顆“既覬覦系統(tǒng)在測試后并無重大漏洞;又希望漏洞程度與整改建議能全面且合理”的待嫁之心。所以我們要花時間搞清楚要報告的對象,并設(shè)身處地的從他們的角度來換位思考,做到言之有物、言之鑿鑿。能夠?qū)崿F(xiàn)“老總看了會沉默,IT看了會流淚”那就厲害了。

封面

對沒看錯,我們從封面講起,要注意什么呢?要標(biāo)明整個報告的“等級標(biāo)識”和“測試日期”這兩個重要元素。

目錄

記得小時候讀書的時候,語文老師就教育我們:“拿到一本新書的時候要先看目錄,以后長大了去圖書館查找書籍也要如此。”同理,目錄可以讓閱讀此報告的人對報告的整體架構(gòu)有個宏觀的認(rèn)識,也可以快速跳躍的到其感興趣的章節(jié)和部分。

內(nèi)容摘要

怎么聽上去有寫論文的趕腳?對,只不過不同的是:一般論文在這里盡量體現(xiàn)其通篇最有技術(shù)含量的元素,以便更為方便的被檢索到。但咱們的報告摘要,則應(yīng)該盡量避免使用專業(yè)術(shù)語。因為真正會閱讀這部分的管理層金主(非技術(shù)類管理人員)可要比技術(shù)大??啥嗟枚嗯?。當(dāng)然該部分也可以方便被直接摘錄到PPT里,進而在會議上分析與傳閱。其實全稱應(yīng)該叫做執(zhí)行摘要(Executive Summary),也就是匯總性的告知測試了什么、發(fā)現(xiàn)了什么、而且是由于什么所導(dǎo)致的。然后就是所發(fā)現(xiàn)的漏洞的一個從高到底列表。當(dāng)然,這里有個小貼士給大家:雖然測試報告命中注定是匯報IT系統(tǒng)和人員的“缺點”,但如果能在摘要中列舉出抗攻擊成功和安全措施到位的地方,則會在體現(xiàn)測試的客觀性和全面性的同時,也能給報告對象帶有些許安慰或成就感。畢竟誰都不想看到自己的系統(tǒng)和員工是那么的一無是處。而在執(zhí)行摘要的最后應(yīng)該是一個結(jié)論,即明確指出是該系統(tǒng)是安全還是不安全。

上述這些都是報告開篇的重要部分,應(yīng)當(dāng)能夠脈絡(luò)清晰的呈現(xiàn)在一頁A4紙上,讓“讀者”一目了然的知道接下來要做什么。

測試流程

在E文里,這個部分有個美麗的名字叫做“Technical Storyline”。對,就是最近熱播劇《West Word》里,老戲骨們爭得頭破血流的storyline。我們可以畫出帶有各種條件判斷和步驟框圖的測試Flow Chart,它既可以體現(xiàn)咱們的專業(yè)水平,又能彰顯測試思維的縝密性。另外,我們還可以在必要時闡述一下涉及到評判標(biāo)準(zhǔn)之類的方法論,以增強邏輯性。

工具列表

這里主要包括版本和功能的簡要描述。其好處是:如果有人要重現(xiàn)您的測試,則他們可以籍此確切的找到您使用的工具,實現(xiàn)測試的可重復(fù)性。

報告主體

這一部分在整個報告中的技術(shù)成分含量最高,報告的正文應(yīng)當(dāng)包括所有檢測到的漏洞細(xì)節(jié)。即:如何發(fā)現(xiàn)到漏洞、漏洞可以如何利用、以及其被利用的可能性有多大。并且還應(yīng)該盡可能的逐條給出切實貼合的修復(fù)建議。在表述順序上可以有如下幾種“打開”方式:

· 以嚴(yán)重等級:從高到低,例如:從SQL的注入漏洞一直羅列到源代碼中留存的,盡管被注釋掉的信息。

· 以網(wǎng)絡(luò)架構(gòu):從外到內(nèi),例如:可以參考我們前面各期漫談所遞進介紹的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的順序哦。

· 以系統(tǒng)功能:從點散開,例如:將系統(tǒng)中所有涉及到偵聽、嗅探的各種測試都描述到位之后,再描述所有涉及密碼破解的測試結(jié)果。

哥本人喜歡用的方式是以填表的形式予以呈現(xiàn),比如在每個表格里都固定包含的表項信息有:漏洞名稱、等級程度、被利用的可能性、危害范圍和建議等。而且要善用rich formatting(即不同顏色、字體、字號和效果等),以達(dá)到醒目和易記憶的效果。當(dāng)然也可以通過軟件來自動生成一些餅圖或柱狀圖,以體現(xiàn)各種占比。畢竟有圖有真相、圖文并茂,才更有說服力。

附錄

這里可以添加一些未盡之言的內(nèi)容。比如:一些測試原理與依據(jù)的支撐材料,參加測試人員的資歷和項目經(jīng)驗,以及一些必要的且包含有時間戳和系統(tǒng)特征信息的佐證截屏,甚至是一些術(shù)語說明列表等。

免責(zé)聲明

正如《阿甘正傳》里的那句:“生活就像一盒巧克力,你永遠(yuǎn)不知道下一顆是什么味道。”我們在愉快的提交了測試報告后,是無法知道它被用來做什么以及會給自己的工作帶來什么的。所以如果你是作為第三方involve到這個測試中的話,最好是在最后或是扉頁處撰寫一個免責(zé)聲明,必要時可以附上有高層簽署的該滲透測試同意書。

那天哥陪一個小小孩下四分之一的圍棋盤。孩子一開始就口中念叨著“金角銀邊草肚皮”那句口訣。這使我突然頓悟到:我們信息安全與下圍棋也有相通之處啊。系統(tǒng)的安全同樣也是從邊界防護開始著手的(曾記否?咱們漫談就是從邊界講起的哦。);而滲透測試則更像是我們平時“打棋譜”一樣,不斷通過模擬攻防、揣摩改進以培養(yǎng)對整體系統(tǒng)安全的全局掌控能力。另外,與要把對方的攻擊性棋子消滅干凈并將死才為勝利的象棋不同,圍棋講求的是:無不同職能棋子的區(qū)分,雙方棋子尚在棋盤上的情況下,只要在數(shù)量上達(dá)到可預(yù)見的制衡,便可判定勝負(fù)。因此,對于各種攻擊,我們做信息安全的也無法完全阻止,更不存在一勞永逸之法;我們只能將“魔高一尺,道高一丈”動態(tài)化且常態(tài)化。想著、想著我居然連輸了孩子兩盤……

【51CTO原創(chuàng)稿件,合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】

責(zé)任編輯:藍(lán)雨淚 來源: 51CTO.com
相關(guān)推薦

2017-01-12 08:51:41

2016-12-15 09:46:15

信息安全資源治理廉環(huán)話

2016-09-29 10:56:32

信息安全人員治理安全管理

2016-11-09 21:42:14

信息安全廉環(huán)話

2016-12-22 08:28:26

IT核算預(yù)算信息安全

2016-09-18 09:42:50

2016-09-08 09:25:40

BYOD信息安全

2016-10-13 10:49:57

云平臺選型信息安全

2016-08-18 09:26:37

2016-11-24 08:25:41

2016-12-29 10:06:43

IT管理信息安全

2016-12-08 10:14:23

信息安全變更管理廉環(huán)話

2016-08-11 09:58:39

2016-10-20 08:07:27

信息安全人員治理廉環(huán)話

2016-11-17 10:16:37

2016-12-01 09:17:30

2016-09-22 08:55:31

信息安全備份廉環(huán)話

2016-09-01 06:51:23

無線覆蓋與管控信息安全

2016-10-27 09:12:28

2016-09-27 17:40:02

網(wǎng)絡(luò)安全技術(shù)周刊
點贊
收藏

51CTO技術(shù)棧公眾號