滲透測試的方法與標(biāo)準(zhǔn)
成功執(zhí)行滲透測試的其一個(gè)主要因素是底層的方法。缺少正式的方法意味著沒有一致性——我很確定這一點(diǎn)——你一定不希望成為那個(gè)受邀卻無視測試人員漫無目的地操作的人。雖然滲透測試人員需要有適合的專業(yè)技術(shù),但也不能缺少正確的方法。換句話說,一個(gè)正式的方法應(yīng)該能夠提供一個(gè)用于構(gòu)建完整且準(zhǔn)確的滲透測試的嚴(yán)格框架,但是不能夠有限制——它應(yīng)該允許測試人員充分發(fā)揮各自的聰明才智。
由Pete Herzog提出的Open Source Security Testing Methodology Manual (OSSTMM)已經(jīng)成為執(zhí)行滲透測試和獲得安全基準(zhǔn)的事實(shí)方法。根據(jù)Pete Herzog的觀點(diǎn),“OSSTMM的主要目標(biāo)是實(shí)現(xiàn)透明度。它實(shí)現(xiàn)了對那些不具備充足安全配置和政策的人的透明度。它實(shí)現(xiàn)了對那些沒有執(zhí)行足夠安全性和滲透測試的人的透明度。它實(shí)現(xiàn)了對那些已經(jīng)很缺乏安全預(yù)算的犧牲者仍然盡力壓榨其每一分預(yù)算的無良安全供應(yīng)商的透明度;以及對那些回避商業(yè)價(jià)值而炒作法律規(guī)范、網(wǎng)絡(luò)破壞和黑客等威脅的人的透明度。OSSTMM的滲透測試范疇包括從初始需求分析到生成報(bào)告的整個(gè)風(fēng)險(xiǎn)評估過程。”這個(gè)測試方法包含了六個(gè)方面:
◆信息安全性
◆過程安全性
◆Internet技術(shù)安全性
◆通信安全性
◆無線安全性
◆物理安全性
OSSTMM關(guān)注測試項(xiàng)的技術(shù)細(xì)節(jié),在安全必測試之前、期間和之后需要做什么,以及如何界定結(jié)果。針對國際化最初實(shí)踐方法、法律、規(guī)章和道德問題的新測試都會定期增加和更新。
National Institute of Standards and Technology (NIST)在Special Publication 800-42, Guideline on Network Security Testing中討論了滲透測試。NIST的方法雖然不及OSSTMM全面,但是它更可能被管理部門所接受。
另一個(gè)需要注意的方面是滲透測試服務(wù)提供商。每一個(gè)單位在滲透測試過程中最擔(dān)心的一個(gè)問題是敏感信息可能通過錯(cuò)誤的路徑。因此,收集盡可能多關(guān)于公司的信息變得非常重要(如他們的技術(shù)能力、證書、經(jīng)驗(yàn)、方法和所使用的工具),并且要保證他們是專業(yè)人員。此外,有一些專業(yè)的官方證書可以表明公司的可信賴程度及其與行業(yè)最佳實(shí)踐的一致性。
滲透測試標(biāo)準(zhǔn)
讓我們看一些現(xiàn)有的標(biāo)準(zhǔn)和準(zhǔn)則:
信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)(ISACA):ISACA是在1967年成立的,并且成為領(lǐng)先的全球性信息管理、控制、安全和審計(jì)專家組織。它的IS審計(jì)和IS控制標(biāo)準(zhǔn)得到了世界范圍的實(shí)踐應(yīng)用,而且它的研究能精確定位威脅它組成成分的專業(yè)問題。CISA,即Certified Information Systems Auditor,是ISACA的基礎(chǔ)認(rèn)證。
CHECK:CESG IT Health Check模式是專門用于保證敏感管理網(wǎng)絡(luò)和那些組成GSI(Government Secure Intranet)和CNI(Critical National Infrastructure)的組件是安全的且經(jīng)過較高級別的測試。這個(gè)方法的目標(biāo)是發(fā)現(xiàn)IT系統(tǒng)和網(wǎng)絡(luò)中發(fā)現(xiàn)可能威脅IT系統(tǒng)信息的保密性、完整性和可用性的漏洞。只有在需要對HMG或相關(guān)部分測試時(shí)才需要CHECK咨詢公司的參與,并且他們也要滿足以上要求。CHECK已經(jīng)成了滲透測試及UK內(nèi)滲透測試的事實(shí)標(biāo)準(zhǔn)。屬于CHECK的公司必須擁有明確安全性且通過CESG Hacking Assault Course的員工。然而,除了UK Government協(xié)會,下面所介紹的開源方法也是可行且全面替代方法。
OSSTMM:Open Source Security Testing Methodology Manual的目標(biāo)是為Internet安全測試創(chuàng)建一個(gè)標(biāo)準(zhǔn)。它將構(gòu)成這種測試的綜合基線,保證執(zhí)行徹底和全面的滲透測試。這能夠使客戶確定與其它組織問題無關(guān)的技術(shù)評估級別,如滲透測試提供者的企業(yè)資料。
OWASP:Open Web Application Security Project (OWASP)是一個(gè)開源社區(qū)項(xiàng)目,它通過開發(fā)軟件工具和知識文檔來幫助人員實(shí)現(xiàn)Web應(yīng)用和Web服務(wù)的安全性。OWASP是系統(tǒng)架構(gòu)師、開發(fā)人員、供應(yīng)商、用戶和安全專業(yè)人員在設(shè)計(jì)、開發(fā)、部署和測試Web應(yīng)用和Web服務(wù)時(shí)可以使用的開源參考點(diǎn)。總而言之,Open Web Application Security Project 的目標(biāo)是幫助所有人創(chuàng)建更安全的Web應(yīng)用和Web服務(wù)。
結(jié)論
安全性是連續(xù)的,而非絕對的。滲透測試的價(jià)值在于它產(chǎn)生的結(jié)果——這也就是回答“為什么”這樣一個(gè)大問題的答案。一個(gè)成功的滲透測試不只是能發(fā)現(xiàn)某一個(gè)特殊缺點(diǎn),它還能在一開始就確定產(chǎn)生漏洞的過程錯(cuò)誤。修復(fù)或修補(bǔ)所探測的漏洞并不意味著你就不再有安全問題了,或者高枕無憂了——這只是無限循環(huán)過程的開頭而已。
CRUX:一個(gè)滲透測試并不能保證絕對安全——它只是實(shí)現(xiàn)安全性的一個(gè)措施。所以,“絕不要對安全性產(chǎn)生誤判”。
【編輯推薦】
