很多剛入行的甲方安全從業者會因為對安全測試的理解不到位而事倍功半,往往感覺明明做了很多缺又沒有什麼成效,累了自己,又拿不出成果給領導。那麼可以問問自己,
你真的瞭解安全測試嗎。
1.知道為什麼要測試
執行滲透測試的目的是什麼?是滿足審計要求?是你需要知道某個新應用在現實世界中表現如何?你最近換了安全基礎設施中某個重要組件而需要知道它是否有效?或者滲透測試根本就是作為你定期檢查防禦健康的一項例行公事?
當你清楚做測試的原因時,你也就知曉自己想從測試中得到什麼了,而這可以讓測試規劃工作更有效率。知道做測試的緣由可以讓人恰當地確立測試的範圍,確定測試結果將會揭露什麼問題。
或許這一步中最重要的一部分,是讓團隊提前架設好準備從測試結果中得出正確的結論的心理預期。如果測試是要審查IT基礎設施的某個特定方面(比如說新的Web應用),那就沒必要著墨於公司整體安全。理解做測試的緣由可以讓你問出正確的問題,得到能被恰當理解的結果。
2.瞭解你的網絡
漏洞是安全的重點。企業網絡上線之日直至如今必然經歷種種變遷,只要攻擊者比企業自己的IT員工更清楚其中存在的漏洞,企業網絡就對攻擊者門戶洞開。
繪製公司網絡地圖的責任不落在滲透測試團隊身上。如果滲透測試團隊在做這項工作,就意味著你有可能錯過他們的測試結果,因為你收到的網絡架構消息都能把滲透測試結果淹沒。
一張更新的網絡地圖(包括邏輯方面和拓撲方面)應成為滲透測試的強制性前提條件。如果滲透測試員在告訴你你所不知道的網絡架構情況,那你就是在為網絡地圖買單——很貴的那種。
3.設置範圍
紅隊探測範圍有多廣,很大程度上取決於你為什麼要做這個測試,因為太廣或太窄可能都無甚大用。
測試範圍過窄的問題很明顯:如果想要找出的問題在測試範圍外,那就沒有任何數據能幫助確定該組件的安全。所以,必須確保測試參數包含事關公司當前安全狀態的重要組件。最重要的是,你得確定自己要測試的是整體安全狀況還是某特定系統的安全狀態,以及人為因素(對網絡釣魚和其他社會工程攻擊的敏感性)需不需要被包含進去。
如果測試範圍過寬,有可能出現兩個問題。第一個問題是經濟上的:測試費用會隨範圍的擴大而增加,而測試價格與所需信息不相匹配的狀況又會影響到公司高層對未來測試的熱情。
第二個問題就更為致命了。測試範圍過大時,測試本身容易返回太多信息,真正所需的數據很容易被淹沒在巨量的測試結果中。
教訓很清楚:想要測試架構中特定部分的安全,就將滲透測試的範圍限定在那個部分上。對整個系統的測試可以留待下次進行。
4.做好計劃
弄清測試目的並確定出測試範圍後,就可以開始制定測試計劃了。定出詳細明確的測試條件和需求最為重要,任何鬆散或須經解釋的測試要求都會削減滲透測試的效率。需做好詳盡計劃的原因有很多,其中最主要的原因與成本控制和提升測試結果可用性有關。
良好的測試計劃應分為多個部分。一個部分幫助委託公司鞏固其測試方案的要求。一個部分確認測試返回數據的類型。還要有一部分內容為向公司執行委員會解釋測試開銷做準備。
測試計劃不是制定好後就固定不變的,測試過程中可能需作出修訂。測試團隊被聘用後,他們可能會針對某些測試元素提出一些能產生更好結果的建議。其中關鍵就在於,公司內部就該測試計劃達成一致後 ,安全團隊就能判斷滲透測試員的建議是否能滿足測試需求了,不用什麼都依靠測試團隊的力量。
5.僱正確的團隊
提供滲透測試服務的公司和顧問很多。這些公司都有各自的優勢和弱點,他們的技術技巧各有千秋,呈現測試結果的方式也有好有壞。公司有必要確保所選測試團隊的能力盡可能地符合測試需要。
要注意的是,測試需求應高於客戶要求。確實,有些團隊在導引徵求建議書(RFP)過程或擠進獲批供應商列表上頗有心得,但他們執行測試計劃所需滲透測試動作的技術未必比得上這些在應付客戶上的技巧。選擇滲透測試團隊時應將測試技術放在第一位,會計和行政管理方面的能力次之。
可以考察測試團隊的老辣程度,看他們如何在不推翻原計劃的條件下提出建議,改進客戶的測試計劃。這也是為什麼前期要做好測試計劃的一個重要原因。因為可以檢查測試過程中的種種改動。
6.不要干預
人都想得到別人的認同,這是人類天性。但滲透測試的目的就是要展現出公司企業安全狀態的實際情況,所以,儘量別為了得到個看起來好看的結果而人為干擾滲透測試員,給防禦方提供不公平的優勢。
事實上,紅隊幾乎總能某種程度上滲透進公司網絡邊界。我們當前的技術和操作就是這樣的。很多情況下,真正的問題存在於藍隊到底什麼時候才能發現已被攻破,會如何響應。
無論測試結果如何,都要讓測試過程正常進行,以便結果真實、準確、有用。管理層的任何干預都會毀了滲透測試的有效性,請一定記得在測試完成前不要插手。
7.注意結果
測試完成後,你會得到一份完整的報告,需仔細研讀。滲透測試員應向你呈現出測試的結果,如果你有機會根據測試結果改進安全系統,別放過這種機會。
或許滲透測試是為了滿足監管合規要求而做的。也有可能你就沒想找任何理由來改變你的安全防禦。這都沒關係。你的安全防禦如今已遭遇過敵軍主力,而你可以看清安全計劃的成功之處與失敗的地方。
如果測試結果被用於做出有意義的改變,滲透測試就是划算的。而划算的滲透測試也更有可能在未來獲得公司高層的安全預算。
8.溝通結果
對大多數公司來說,滲透測試的結果不侷限在安全團隊範圍內。至少,對整個IT部門都有影響,而很多情況下還有高管們需要看到的信息。
很多安全人員都覺得,向非安全專業的經理傳達滲透測試結果是過程中最難的部分。不僅需要說明都做了什麼,為什麼要這麼做,還要用他們能聽懂的語言解釋需要作出什麼改動。這往往意味著要用商業術語溝通,而不是以技術語言闡述。
正如滲透測試可被視為真實攻擊的預演,將其他部門的同事納入結果闡述和操作展示的受眾範圍,也有助於確保被接收的信息確實是你想要傳達的。
對很多業務經理而言,網絡安全是個令人望而生畏的高難度領域;儘量別用過多的行話讓業務經理們在座位上一頭霧水坐臥不寧。
既然都已經花大力氣做了計劃並執行了切實的滲透測試,那就努力讓測試結果對整個公司有用吧。
作 者:Testfan Covan
出 處:微信公眾號:自動化軟件測試平臺
閱讀更多 安然—Testfan 的文章
