渗透测试指南(更新版)

渗透测试指南（更新版）TT安全技术专题之“渗透测试指南（更新版）”Page2of20渗透测试指南（更新版）渗透测试（penetrationtest）是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设，你的公司定期更新安全策略和程序，时时给系统打补丁，并采用了漏洞扫描器等工具，以确保所有补丁都已打上。如果你早已做到了这些，为什么还要请外方进行审查或渗透测试呢？因为，渗透测试能够独立地检查你的网络策略，换句话说，就是给你的系统安了一双眼睛。本技术手册将从渗透测试的理解、渗透测试具体实践和渗透测试行业解析三方面向大家详述渗透测试。渗透测试初步理解渗透测试并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。渗透测试的解释零了解渗透测试的赞成和反对理由是什么标准渗透测试的道德黑客技术保证企业网络安全必需渗透测试吗？渗透测试具体实践在对网络渗透测试进行设计期间，需要设置许多界限来防止范围蔓延（scopecreep），也就是哪些设备、服务以及网络需要测试，而哪些不用测试；这个范围依赖于测试的目标。一定要记录和保存这个计划，因为测试之后它就是你的测试框架，它能帮助你判断哪些测试结果应该分析，而哪些不用分析。TT安全技术专题之“渗透测试指南（更新版）”Page3of20渗透测试方法：创建一个网络渗透协议测试如何为渗透测试工作选取最佳IT安全认证如何处理网络渗透测试结果社会工程测试应该包含在渗透测试中吗？渗透测试员解密企业系统评估渗透测试行业解析渗透测试的目标不仅是要评估电脑系统或者网络的安全性，还要决定成功攻击的可行性和商业影响。这样的测试模仿企图利用你的企业系统中的潜在的漏洞的攻击者。发现的任何安全问题随后都要报告，一起报告的还有对他们可能产生的影响的评估。如何进入渗透测试行业如何选择渗透测试人员道德黑客如何转变为线路渗透测试人员？TT安全技术专题之“渗透测试指南（更新版）”Page4of20渗透测试的解释安全诊断主要有三种类型：渗透测试、审计和评估（被不同地描述为评估和风险评估)。单独使用任何一种测试都不可以很好的进行。在测量系统安全的时候，必须要在合适的时间执行合适的测试。还有一点非常重要，就是所选择的测试要基于企业的需要，而不是测试者（不管他们是内部员工还是外来的咨询人员）的技术（或者因为对技术的缺乏）。渗透测试渗透测试的名声最响，因为每个人都听说过，而且“知道”渗透测试是专家用于确保系统安全的。渗透测试目前很有吸引了，但是却是在大部分情况下使用最少得系统诊断方法。先说重要的事情：正确执行的渗透测试是秘密的测试，其中由咨询人员或者内部人员扮演恶意攻击者，攻击系统的安全性。因为最终目的是渗透，这种测试不会发出警告，完全保密（当然，上层管理人员同意进行测试并且理解秘密的要求）。理想的是，应该没有来自企业的支持„„或者，最大限度的是指出哪些是渗透测试团队应该避免的。很显然，如果企业外包了渗透测试，客户应该让咨询者知道具体的目的是什么。测试就可以设计为模仿内部或者外部的攻击。它可以技术性的，也可以是非技术性的（例如，测试者可以使用社交工程师的方式进入网络）。在目标企业中，只能有一部分人知道测试。测试的关键的一方面是看企业是否能检测到渗透企图。处于这个原因，批准正式回应的人应该也被包括进去。现在，为什么渗透测试不如它说明的那么有用？因为它唯一的目标是攻击安全。为了这么做，这个团队要鉴别可能的漏洞，重点是那些他们认为会产生结果，而不太可能被检测到的（从黑客的角度）。在这一点上，客户可以看到对这些漏洞的攻击可以产生什么样的破坏。但是，在运行测试的时候，测试员不会发现所有的漏洞，甚至不能确定测试可能检测到的所有漏洞的存在。渗透测试所能够证明的是系统可以被攻击。它不能对每一个漏洞进行记录，只能是那些在测试中被利用的漏洞。所以，虽软渗透测试可以推断出其他问题，但是任何渗透测试员都不能说已经鉴别到了客户的所有安全问题——或者甚至是大部分。TT安全技术专题之“渗透测试指南（更新版）”Page5of20那么，渗透测试有什么作用呢？处于各种内部原因，有些企业需要有说服力的论据说明不充分的安全可能导致重大损失。执行情况良好的渗透测试当然可以证明。为了从业务的角度使渗透测试起作用，企业价值可能的损失必须要强有力的并生动的证明出来，要超出企业的电脑被攻击的事实。有时，应该进行秘密渗透测试，看看安全策略是否被遵守了。虽然公开的测试也可以调查人们是否遵守了策略，但是在不知道被监视的时候人们就会有不同的表现，这是人类的天性。例如，XYZ公司的安全策略禁止终端用户在电话中泄露密码，除非他们自己主动打电话到服务台。很明显，如果外部的咨询人员走到终端用户那里，并问：“你有没有把你的密码告诉过你不认识的人？”答案通常是没有。但是如果测试人员打电话给用户，情况就不同了，假扮成IT部门的同事，并向用户询问他或她的密码，这样测试人员就可以“确认”了。这样的社会工程渗透技术是确定是否遵守安全策略的更可靠的方法。原文出处：(作者：IraWinkler译者：TinaGuo来源：TechTarget中国)TT安全技术专题之“渗透测试指南（更新版）”Page6of20零了解渗透测试的赞成和反对理由是什么问：如果测试人员不了解要进行渗透测试网站，赞成和反对的理由是什么？在理想状态下，测试人员应该是什么也不知道吗（为了更好的模仿攻击者的思维模式）？答：对网站的渗透测试环境的零了解意味着渗透测试人员被告知很少的目标信息，可能只有它的URL，因此可以模仿真实的攻击者。虽然对于预算和办公室政治的环境很有帮助，可以向老板提交报告证明即使不了解新网站的人也可以入侵进入，但是我对零了解的方法还有一些保留意见。我们知道一定百分比的攻击时来去网络边界内部的，或者来自有内部帮助的外部。如果你想要知道你的网站在所有现实情景中是否安全，零了解就不是必须的最好出发点。零了解的方法也有潜在的缺点，它返回结果比较慢。如果预先对测试人员介绍了系统的某些基础，就会节省时间，而在产品生产的时候，时间通常是最紧张的。这里最重要的变数之一是目标的状态：是在生产还是在开发？当测试产品系统的时候，你可能想要测试人员让你尽快了解所发现的漏洞，而不是等最后的报告。假设和测试人员的合同写的很合适，你可能就可以个给漏洞打补丁，并测试补丁。当然，有人会说把渗透测试人员作为安全的改进人员可以花最少钱得到最大的效果。最后，不管你是否选择从零了解出发，记住在不触犯法律的情况下你不可能真正的复制现实世界。你必须假定你的攻击者准备好了犯法来完成他们的目标，但是很多企业可以给渗透测试人员免死金牌。所以，你想要你的渗透测试人员可以和犯罪黑客一样思考，并把非法渗透到系统的方法写下来给你。底线是现实世界和渗透测试是两个不同的事情。如果有安全专家定期对产品中的潜在漏洞进行测试，而安全专家完全了解产品，而不是设置不现实的测试情景，你的安全资金可以以最好的方式支出。原文出处：(作者：MichaelCobb译者：TinaGuo来源：TechTarget中国)TT安全技术专题之“渗透测试指南（更新版）”Page7of20标准渗透测试的道德黑客技术问：我最近为我们公司的合作伙伴作了一次渗透测试，发现管理层没有获得合作伙伴执行测试的书面许可。合作伙伴报告说他们被黑了，现在公司被卷入了诉讼！从现在开始我要确保我手里有书面许可，但是我要怎么做才能挽救我作为一名道德黑客的名誉呢？答：没有什么能比得上把自己卷入诉讼中。好像你和你的公司都得到了很有价值的教训，知道在进行评估前首先要有合适的书面许可。你需要先做几件事情：一是和公司的管理层和律师谈谈，看看他们需要从你这里去的什么文件。这可能包括的文档有你被要求作什么事儿的，你做了什么测试，以及什么时候。要尽可能的合作，并快速建立一种观念，就是你是把公司利益放在第一位的员工。下一步，为将来的渗透测试创建可以遵守的程序。这应该要求有管理层的一些文件要求以及各方面的同意这么做的许可类型的通知。在测试后，还应该包括测试进行的时间和内容的文档。如果你的公司可以很好地处理这种情况，管理层就会在这个过程中支持你。如果清楚了公司知道需要有许可并选择了忽略它，你还有一个选择，很不幸，就是你要辞职。有时，保护自己名誉的最好方法是完全和公司分开，并找一家尊重道德的新公司。这是很激烈的措施，但是最后对你最有利。任何称职的雇主都不会这么对待你。原文出处：(作者：DavidMortman译者：TinaGuo来源：TechTarget中国)TT安全技术专题之“渗透测试指南（更新版）”Page8of20保证企业网络安全必需渗透测试吗？问：在企业网络安全策略中，渗透测试的重要性有多大？答：渗透测试可以提供安全防御的有价值的信息，但是成本很高。为了渗透测试的可信性，通常必须要有独立的外部公司进行。如果使用内部人员和测试揭开漏洞，你可能会听到这样的批评，测试人员一定在攻击中利用了他们的内部信息和架构的指示来扩大安全预算。另一方面，如果测试表明状况良好，你可能会受到测试不够彻底的批评。如果有的话，这就一定是第二十二条军规。由于渗透测试的高成本，我通常推荐成熟的安全项目才能考虑使用。如果你正在构建安全架构，缺少几个主要的部分，那么首先就把预算花在这里吧。否则，渗透测试就只能揭示已经知道的漏洞。另一方面，如果采用了渗透测试来评估全面执行的架构，你可能会获得潜在漏洞有价值的信息。原文出处：(作者：MikeChapple译者：TinaGuo来源：TechTarget中国)TT安全技术专题之“渗透测试指南（更新版）”Page9of20渗透测试方法：创建一个网络渗透协议测试问：我是一个IT审计员，我想为我们公司的端口执行入侵渗透测试，但受到了IT小组的阻扰，因为他们担心这会导致系统停机。然而，根据我的研究，执行测试使系统停机的风险很低。你觉得我该怎么说服他们？答：在给企业做任何网络渗透测试之前，采取一些基本的行动不仅是为了保护公司，也是为了保护你自己。我能给你的一个最好建议是，使用NIST特别出版物800-115（信息安全测试和评估技术指南）中的一个模板，交战规则（RulesofEngagement，ROE）。交战规则模板将帮助您组织和准备渗透测试方法，同时也给IT部门一种印象，即你知道你在做什么，并且你对可能造成停机的问题比较关注。例如，交战规则包括以下主要内容，您需要与IT和企业管理部门一起来完成：介绍a.目的b.范围c.假设和限制d.风险e.文档结构物流人员a.测试进度表b.测试场地c.测试设备沟通策略一般沟通TT安全技术专题之“渗透测试指南（更新版）”Page10of20a.事件处理和反应目标系统/网络测试执行非技术测试组件（如，面谈、社会工程）a.技术测试组件（如网络扫描、发现、渗透测试）b.数据处理报告签名页测试小组组长和公司的高级管理人员（CSO、CISO、CIO等）应签署交战规则，说明他们理解测试的范围、界限和风险。另外，还有一些额外的东西需要添加到交战规则中，以帮助IT人员了解你是站在他们这一边的：1．允许的活动和不允许的活动内容。（例如，如果测试将导致系统中重要资产灾难性丢失，不允许对其进行渗透测试。此外，不允许在不能被中断的重大事件期间进行渗透测试。）2．确定那些未经授权测试的