你为什么要进行渗透测试?无论您使用的是内部团队,外部专家或两者的组合,你只需符合监管机构或审计要求,或者你真的希望提高企业的安全?
我们向渗透测试专家咨询了如何改进您的程序以使您的时间、金钱和努力获得最大效益的指导。如果你求助于外部专家,他们的建议会告诉你对咨询师的期望和要求。下面的10个技巧会让你明白测试的目标和重点;制定有效的测试策略;有效利用你的人员;并最有效地利用笔测试结果来纠正问题、改进流程和持续改进企业安全态势。
提示1:确定目标
渗透测试 - 说真的,所有的信息安全活动 - 是关于保护企业。您正在对攻击者找到漏洞的作用,并利用它们来确定业务的风险并基于你的发现建议,以提高安全性。攻击者试图窃取你的数据 - 他们的技术是达到目的的一种手段。也是如此,渗透测试:这不是酷技术方面的东西可以做,以利用漏洞;它是关于发现这里的生意风险最大。
“如果你不能用我的业务来表达一些东西,你就没有给我提供价值,”InGuardians的创始人和高级安全顾问埃德·斯库迪斯(Ed Skoudis)说。“不要告诉我你利用了一个漏洞,在那个盒子上破壳而出,而不告诉我这对我的生意意味着什么。”
另请参阅网络压力测试工具:有所为,有所不为在CSOonline.com
有了这样的理解,从更战术的角度来看,渗透测试是确定您的安全策略、控制和技术的实际工作情况的好方法。您的公司在产品、系统补丁、端点安全等方面投入了大量资金。作为笔测试人员,您正在模仿攻击者,试图绕过或消除安全控制。
核心安全公司安全咨询服务的创始人和主管Alberto Solino说:“你要给公司一个好的评估,看他们的钱是否花得值。”
目标不应该是简单地为钢笔测试获得一个复选框,以满足符合性需求,例如PCI DSS。笔测试的目的应该不仅仅是发现漏洞(漏洞扫描应该是笔测试程序的一部分,但不是替代方法)。除非测试是发现、利用和纠正安全漏洞的持续程序的一部分,否则您的金钱和努力最多只能让您获得检查标记,而在最坏的情况下,则是由一位精明的评估员进行失败的审计。
提示2:按照数据
组织对笔测试有限的预算和资源的限制,无论您是进行内部测试,聘请外部顾问,或者使用两者的组合。你不能在您的整个IT基础架构进行渗透测试,跨设备的数百或数千,但笔测试人员往往会被告知跨越广泛的IP地址范围内尽量妥协设备。其结果很可能是测试方案,产生很少或没有价值的最粗略的。你甚至不能指望在一个合理的时间量,并以合理的价格在一个很大数量的设备进行漏洞扫描和修复缺陷。
“在很多情况下,客户有IP地址的千他们希望我们笔测试,”奥马尔·卡瓦贾,全球产品经理,Verizon的安全解决方案说。“我们可以运行的漏洞测试,看看有什么最脆弱的,但他们可能不会对您的组织最重要的。”
退一步问,“我现在想保护?”什么关键数据处于危险之中:信用卡数据,患者信息,个人识别客户信息,商业计划,知识产权?哪里的信息驻留?你甚至不知道每个数据库,每个文件存储库和包含敏感数据的每一个日志存储?你可能不知道,但机会是攻击者将找到它。
因此,第一个关键步骤是缩小笔测试的范围,即数据发现:确定哪些敏感数据存在风险,以及这些数据在哪里。接下来的任务就是扮演攻击者的角色,找出如何获得奖品。(读红队与蓝队有关此方法的更多的想法。)
“我们的想法来模仿什么是真正的攻击者会与客户商定的时间范围内做,”核心安全的Solino说,“不是找到所有可能出现的问题。”
提示3:与企业主交谈
与商务人士的工作。他们知道什么是风险 - 哪些数据是关键,应用创造什么,并与数据接口。他们将至少知道了较为明显的地方在数据所在。他们会告诉你哪些应用程序必须保持正常运行。
你会学到很多东西,你需要了解与特定应用程序相关联的威胁级别是什么,数据的价值,是风险公式中的重要资产。
这个过程中的一个重要组成部分,是工作与谁了解应用程序的业务逻辑的人。知道什么是应用程序应该做的,它是如何工作将帮助你找到它的弱点,并利用它们。
“定义包括关键信息资产和业务交易处理的范围,” InGuardians' Skoudis说。“头脑风暴与笔测试团队和管理起来。”
Skoudis还建议,要求管理人员给他们最坏的情况下,“什么都可能发生,如果有人破解你最糟糕的事情?”演习通过确定“真正的王冠上的宝石”是帮助范围的项目。
提示4:测试风险
数据/应用程序的价值应确定测试,以进行的类型。对于低风险资产,定期漏洞扫描是一种经济资源的有效利用。中等风险可能要求漏洞扫描和手动漏洞调查的组合。对于高风险资产,进行剥削的渗透测试。
例如,对于一所大学的保安主管说,他们开始进行渗透测试,以满足PCI DSS要求。一旦该程序已经到位,它成为用于测试潜在的攻击者的渗透他们的系统的能力模型。大学数据分类为公共的,内部的敏感和高度敏感。
对于这是高度敏感的信息,我们在几乎相同的准则进行渗透测试的PCI,“他说,”我们从那里后退,基于一些特定的标准和进入渗透测试是什么等级的,如果有一些主观的判断,将系统完成。”
因此,例如,在光谱的风险的下端大学将测试的系统和/或应用程序的随机样本,这取决于一个特定的类别和时间和预算限制标准。随着校园网络上的设备,甚至是所有的人的低层次的扫描成千上万的将是不可行的。
“你可以在一个有明确所有者和系统管理员的业务系统上进行测试,”他说。“但当你有3000个wi - fi连接到网络上时,你不会想去扫描它们,弄清楚它们是谁的。”
提示5:开发攻击者概况
你的笔测试者需要像真正的攻击者一样思考和行动。但攻击者并不属于一个简单的类别。构建潜在攻击者的概要文件。
外部攻击者可能很少或根本不知道您的公司,可能只知道一些IP地址。他们可能是你的前雇员,或为合作伙伴或服务提供商工作,对你的关系网有相当多的了解。内部人员可能是具有特权访问和授权的系统管理员或DBA,他们知道关键数据驻留在何处。
动机是发展概况的一个因素。是信用卡号和PII后,攻击者可以变成现金?将知识产权卖给竞争对手或者获得业务优势?攻击者可能会在政治/意识形态或竞争激励,使您的Web应用程序了。他可能是一个愤怒的前雇员谁愿意“在公司回来。”
与业务所有者合作,帮助修改这些配置文件,并了解他们最关心的潜在攻击者的类型。
轮廓变窄笔检测的焦点,和测试将基于每个这些多个配置文件。
“我们得到的是什么特定的攻击者可以做到对目标的快照,我们不混合的结果,”核心安全的Solino说。“对于每一个配置,我们得到了渗透测试的结果,做一套的个人资料。”
提示6:更智能更美好
信息的收集尽可能多的实际开发过程中的一部分 - 识别设备,操作系统,应用程序,数据库等你知道目标和它连接的系统,更好的机会,你必须打破的多。
每一步都可能产生有价值的信息,这些信息将允许您攻击另一个资产,最终将使您进入目标数据库、文件共享等。这些信息将允许您缩小对可利用漏洞的搜索范围。这种侦察通常使用自动扫描和绘图工具执行,但是您也可以利用社会工程学方法如冒充协助人员或手机上的一个承包商,搜集有价值的信息。
“我们越来越多地开始做社会工程,” Verizon的赫瓦贾说。“它本质上是侦察 - 与客户的许可进行 - 让我们发现在环境一切可能帮助我们打破。”
多级渗透测试通常是侦察,脆弱性评估和开发,每一步给你的信息渗透到更深网络的反复循环。
提示7:考虑所有攻击媒介
攻击者可以并且将单独或经常组合利用您的IT基础设施的不同方面来获取他们正在寻找的数据。
基于攻击者的最终目标,而不是每个攻击者的弱点,全面的笔测试将利用所有这些潜在的攻击向量。
“几年前,我们会做网络渗透测试和应用程序渗透测试和无线渗透测试,然后我们后退几步,说:“这使得绝对没有任何意义,” Solino说。“坏家伙不说,“我只能闯入使用网络的系统。”
成功的笔测试,就像真正的攻击,可以利用任何数量的,其中包括了一些步骤,直到你打工资土路。打印服务器可能不会显得特别有趣,但它可以使用相同的管理员登录凭据作为包含数据库的信用卡信息。
“笔测员会发现缺陷并加以利用,然后从一台机器转到另一台机器,再转到另一台机器,”InGuardians的Skoudis说。
在Web应用程序的攻击可能会失败,在开发方面,但产量,有助于利用网络上的其他资产的信息。或者,攻击者可能获得有关员工没有高权限的信息,但可以访问内部网络充当跳板。
另请参阅如何比较和使用无线入侵检测系统
所以,关键资源可能不是直接可以伤害,但可以通过其他系统受到损害。
Khawaja举例说,威瑞森的笔测试员无法直接威胁到可以访问敏感数据库的网络服务器。如果测试人员仅仅关注于在该服务器上测试Web应用程序,那么结论就是数据是安全的。但是通过采用以数据为中心的方法,他们发现Web服务器连接到另一个Web服务器,该服务器有一个关键的漏洞,攻击者可以利用这个漏洞访问第一个Web服务器,从而访问数据库。(阅读更多关于Web应用程序攻击的内容如何评价和使用Web应用程序安全扫描。)
“我们关心什么,是不是从我们的目标网段拉起了警戒线,”他说。“是否有任何网络控制,以防止攻击者从一个脆弱的低价值体系跳转到一个比较关键的系统?”
话虽这么说,也有载体特异性试验有效病例。例如,一家公司可能特别关注无线网络安全,因为它知道自己在这方面有些松懈,或者可能最近安装或升级了WLAN基础设施。但是,即使您确信某个特定向量是安全的——例如,如果无线网络与信用卡数据库是隔离的——也不要太肯定。攻击路径可能是复杂而复杂的。
提示8:定义交战规则
笔测试模拟攻击行为,但它不是攻击。无论你是在进行内部测试还是与顾问签订合同,你都需要建立参数来确定什么可以做,什么不可以做,什么时候,以及谁需要知道。
后者取决于您是否正在进行白盒或黑盒测试。在前一种情况下,有可能是一个确认,该公司(或特定部门或业务单位)的安全程序需要大量的工作,和笔测试是众所周知的参与开放的过程。
在另一方面,黑盒测试更秘密,进行更象一个真正的攻击 - 严格对需要知道的基础。你是确定公司的人有多好,在他们的工作和支持他们的流程和系统的有效性。