“无论是运营中心,或调查响应团队或物理安全卫士,每个人都必须假装这是在办公室只是另一天,” Verizon的赫瓦贾说。
通常情况下,公司将进行白盒测试先学了必须解决的安全问题。随后,黑箱测试将有助于确定初步调查结果已经有效修复。有时,例如,CSO会想知道关键系统不仅是多么脆弱,但他们的人员有多好,在检测和响应攻击。
在这两种情况下,某些关键人需要参与进来,以避免可能对业务造成影响或破坏测试的问题。至少有一个人到底是谁参与了变更控制过程应在回路中的目标环境,InGuardians' Skoudis说。根据交战规则,例如,公司可以允许笔测试者在目标设备上安装软件做更深入的旋转,但至少有一个人有参与,以确保测试人员不停止由一个路由器丢弃他们的IP地址或ACL调用防火墙规则。
在这两个白盒和黑盒场景,Skoudis建议每日简报与测试的利益相关者,让他们知道什么样的测试人员正在做。例如,交战规则可允许笔测试者利用漏洞,但通报可用来给乡亲们抬起头,他们要做到这一点。
“它建立桥梁,”他说。“这表明笔测试不是遥远的,邪恶的组是出来‘抓住我。’相反,它是所有关于透明度和公开性。”
参与规则也可以设置在什么可以或不可以被利用的限制,如客户机,或技术,可能会或可能不会被使用,如社会工程学。
提示9:报告结果和衡量进展情况
渗透测试的目的是为了提高您的安全状况,所以如果你正在进行内部测试,您的报告应该提供有用的,可操作的和具体的信息。
“我们的目标是帮助提高安全性,管理层要作出决定,以提高业务,帮助运营团队提高安全性,” InGuardians' Skoudis说。
您应该提供一份执行摘要,但您的报告的心脏应该包括你发现,你如何利用它们,将处于危险之中哪些资产如果真正的攻击发生的安全漏洞的详细说明。详细用来穿透每一个步骤,每一个有漏洞被利用,而且,最重要的,也许,所有的攻击路径。
“识别攻击路径的美妙之处在于它可以让你打破的路径来解决具体的问题,”核心安全的Solino说。
要非常具体的建议。如果需要体系结构的变化,包括图表。解释如何验证修复到位(使用此命令,或者工具来度量)。在多个系统中参与的情况,解释如何部署大规模的修复,如果可能的话使用的GPO。
确保每个推荐整治包括警告,它是在生产环境中实施之前的解决方案是彻底的测试。企业的IT基础架构可能是非常复杂的。
“这是一个巨大的问题,” Skoudis说。“你不知道所有的微妙之处。你不想打破生产。”
渗透测试不应该是一次性的活动,并连续结果应进行比较。如果您正在执行的内部测试,放在一起的增量来衡量你的人是如何应对的问题。如果从上次测试的问题 - 或者最后两个 - 仍未得到解决,就可能有问题。或许软件补丁程序无法正常工作,因为它应该还是开发商都没有被适当培训,编写安全的代码。
“我们要寻找的是趋势,”学校安全主任。“这就像你对待审计报告。如果有重复的调查结果,表示你可能有一个更严重的问题。”
提示10:谁决定你的笔测试仪
使用内部员工对笔测试的决定取决于您的组织的规模,你正在试图保护和您想要把你的内部资源信息的价值。一个公司可能有一个专门的笔测试团队或安全团队中的一组。内部团队是一个更好的位置来进行定期检测。如果您的组织是大和分布,建立机制,促进这些信息可以共享的环境。
“如果有内部社区,可以分享信息,确保他们有一个强大的知识基础辅以成熟的知识管理系统,” Verizon的赫瓦贾说。“你要确保发生在你的Beligian单位在巴西没有发生什么事情。”
即使你做一些内部测试,有很好的理由聘请顾问来至少执行一些工作。一些法规要求外部公司进行测试笔;考虑到业内人士可能对目标系统的信息太多,以及对结果的既得利益。因此,超越合规性要求,这是一个好主意,从外面带来了新鲜的观点周期性。
出于同样的原因,如果你聘请外部顾问的测试,旋转供应商中,就如同将与审计人员每隔几年。
“在外面的人带来给出了结果的可信度增加的程度,”大学保安主管说。“没有利益冲突的看法。” -
为了您的内部团队,寻找知识和好奇心正确的混合。
一个好的培训的候选人表示,核心的Solino,具备网络和应用协议为基础的强大的知识。大多数情况下,他看起来出于好奇和黑客的心态。
“这是IT知识和态度,否认的东西是安全的,并说,具体的心态‘去了!’”
“这是一门艺术,” Skoudis说。“虽然有一些工具和方法,你必须要找到在目标系统和应用问题的创造性。”
这个故事,“渗透测试:10个提示一个成功的节目”最初发表CSO 。