◆ 如何进入渗透测试行业
◆ 道德黑客如何转变为线路渗透测试人员?
--------------------------------------------------------------------------------------------------------------------------------
渗透测试的解释:
安全诊断主要有三种类型:渗透测试、审计和评估(被不同地描述为评估和风险评估)。单独使用任何一种测试都不可以很好的进行。在测量系统安全的时候,必须要在合适的时间执行合适的测试。还有一点非常重要,就是所选择的测试要基于企业的需要,而不是测试者(不管他们是内部员工还是外来的咨询人员)的技术(或者因为对技术的缺乏)。
渗透测试:
渗透测试的名声最响,因为每个人都听说过,而且“知道”渗透测试是专家用于确保系统安全的。渗透测试目前很有吸引了,但是却是在大部分情况下使用最少得系统诊断方法。
先说重要的事情:正确执行的渗透测试是秘密的测试,其中由咨询人员或者内部人员扮演恶意攻击者,攻击系统的安全性。因为最终目的是渗透,这种测试不会发出警告,完全保密(当然,上层管理人员同意进行测试并且理解秘密的要求)。理想的是,应该没有来自企业的支持……或者,最大限度的是指出哪些是渗透测试团队应该避免的。很显然,如果企业外包了渗透测试,客户应该让咨询者知道具体的目的是什么。测试就可以设计为模仿内部或者外部的攻击。它可以技术性的,也可以是非技术性的(例如,测试者可以使用社交工程师的方式进入网络)。在目标企业中,只能有一部分人知道测试。测试的关键的一方面是看企业是否能检测到渗透企图。处于这个原因,批准正式回应的人应该也被包括进去。
现在,为什么渗透测试不如它说明的那么有用?因为它唯一的目标是攻击安全。为了这么做,这个团队要鉴别可能的漏洞,重点是那些他们认为会产生结果,而不太可能被检测到的(从黑客的角度)。在这一点上,客户可以看到对这些漏洞的攻击可以产生什么样的破坏。但是,在运行测试的时候,测试员不会发现所有的漏洞,甚至不能确定测试可能检测到的所有漏洞的存在。渗透测试所能够证明的是系统可以被攻击。它不能对每一个漏洞进行记录,只能是那些在测试中被利用的漏洞。所以,虽软渗透测试可以推断出其他问题,但是任何渗透测试员都不能说已经鉴别到了客户的所有安全问题——或者甚至是大部分。
那么,渗透测试有什么作用呢?处于各种内部原因,有些企业需要有说服力的论据说明不充分的安全可能导致重大损失。执行情况良好的渗透测试当然可以证明。为了从业务的角度使渗透测试起作用,企业价值可能的损失必须要强有力的并生动的证明出来,要超出企业的电脑被攻击的事实。
有时,应该进行秘密渗透测试,看看安全策略是否被遵守了。虽然公开的测试也可以调查人们是否遵守了策略,但是在不知道被监视的时候人们就会有不同的表现,这是人类的天性。例如,XYZ公司的安全策略禁止终端用户在电话中泄露密码,除非他们自己主动打电话到服务台。很明显,如果外部的咨询人员走到终端用户那里,并问:“你有没有把你的密码告诉过你不认识的人?”答案通常是没有。但是如果测试人员打电话给用户,情况就不同了,假扮成IT部门的同事,并向用户询问他或她的密码,这样测试人员就可以“确认”了。这样的社会工程渗透技术是确定是否遵守安全策略的更可靠的方法。
--------------------------------------------------------------------------------------------------------------------------------
标准渗透测试的道德黑客技术
问:我最近为我们公司的合作伙伴作了一次渗透测试,发现管理层没有获得合作伙伴执行测试的书面许可。合作伙伴报告说他们被黑了,现在公司被卷入了诉讼!从现在开始我要确保我手里有书面许可,但是我要怎么做才能挽救我作为一名道德黑客的名誉呢?
答:没有什么能比得上把自己卷入诉讼中。好像你和你的公司都得到了很有价值的教训,知道在进行评估前首先要有合适的书面许可。你需要先做几件事情:一是和公司的管理层和律师谈谈,看看他们需要从你这里去的什么文件。这可能包括的文档有你被要求作什么事儿的,你做了什么测试,以及什么时候。要尽可能的合作,并快速建立一种观念,就是你是把公司利益放在第一位的员工。
下一步,为将来的渗透测试创建可以遵守的程序。这应该要求有管理层的一些文件要求以及各方面的同意这么做的许可类型的通知。在测试后,还应该包括测试进行的时间和内容的文档。
如果你的公司可以很好地处理这种情况,管理层就会在这个过程中支持你。如果清楚了公司知道需要有许可并选择了忽略它,你还有一个选择,很不幸,就是你要辞职。有时,保护自己名誉的最好方法是完全和公司分开,并找一家尊重道德的新公司。这是很激烈的措施,但是最后对你最有利。任何称职的雇主都不会这么对待你。
