成功执行渗透测试的其一个主要因素是底层的方法。缺少正式的方法意味着没有一致性——我很确定这一点——你一定不希望成为那个受邀却无视测试人员漫无目的地操作的人。虽然渗透测试人员需要有适合的专业技术,但也不能缺少正确的方法。换句话说,一个正式的方法应该能够提供一个用于构建完整且准确的渗透测试的严格框架,但是不能够有限制——它应该允许测试人员充分发挥各自的聪明才智。
由Pete Herzog提出的Open Source Security Testing Methodology Manual (OSSTMM)已经成为执行渗透测试和获得安全基准的事实方法。根据Pete Herzog的观点,“OSSTM……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
成功执行渗透测试的其一个主要因素是底层的方法。缺少正式的方法意味着没有一致性——我很确定这一点——你一定不希望成为那个受邀却无视测试人员漫无目的地操作的人。虽然渗透测试人员需要有适合的专业技术,但也不能缺少正确的方法。换句话说,一个正式的方法应该能够提供一个用于构建完整且准确的渗透测试的严格框架,但是不能够有限制——它应该允许测试人员充分发挥各自的聪明才智。
由Pete Herzog提出的Open Source Security Testing Methodology Manual (OSSTMM)已经成为执行渗透测试和获得安全基准的事实方法。根据Pete Herzog的观点,“OSSTMM的主要目标是实现透明度。它实现了对那些不具备充足安全配置和政策的人的透明度。它实现了对那些没有执行足够安全性和渗透测试的人的透明度。它实现了对那些已经很缺乏安全预算的牺牲者仍然尽力压榨其每一分预算的无良安全供应商的透明度;以及对那些回避商业价值而炒作法律规范、网络破坏和黑客等威胁的人的透明度。OSSTMM的渗透测试范畴包括从初始需求分析到生成报告的整个风险评估过程。”这个测试方法包含了六个方面:
•信息安全性
•过程安全性
•Internet技术安全性
•通信安全性
•无线安全性
•物理安全性
OSSTMM关注测试项的技术细节,在安全必测试之前、期间和之后需要做什么,以及如何界定结果。针对国际化最初实践方法、法律、规章和道德问题的新测试都会定期增加和更新。
National Institute of Standards and Technology (NIST)在Special Publication 800-42, Guideline on Network Security Testing中讨论了渗透测试。NIST的方法虽然不及OSSTMM全面,但是它更可能被管理部门所接受。
另一个需要注意的方面是渗透测试服务提供商。每一个单位在渗透测试过程中最担心的一个问题是敏感信息可能通过错误的路径。因此,收集尽可能多关于公司的信息变得非常重要(如他们的技术能力、证书、经验、方法和所使用的工具),并且要保证他们是专业人员。此外,有一些专业的官方证书可以表明公司的可信赖程度及其与行业最佳实践的一致性。
渗透测试标准
让我们看一些现有的标准和准则:
信息系统审计标准(ISACA):ISACA是在1967年成立的,并且成为领先的全球性信息管理、控制、安全和审计专家组织。它的IS审计和IS控制标准得到了世界范围的实践应用,而且它的研究能精确定位威胁它组成成分的专业问题。CISA,即Certified Information Systems Auditor,是ISACA的基础认证。
CHECK:CESG IT Health Check模式是专门用于保证敏感管理网络和那些组成GSI(Government Secure Intranet)和CNI(Critical National Infrastructure)的组件是安全的且经过较高级别的测试。这个方法的目标是发现IT系统和网络中发现可能威胁IT系统信息的保密性、完整性和可用性的漏洞。只有在需要对HMG或相关部分测试时才需要CHECK咨询公司的参与,并且他们也要满足以上要求。CHECK已经成了渗透测试及UK内渗透测试的事实标准。属于CHECK的公司必须拥有明确安全性且通过CESG Hacking Assault Course的员工。然而,除了UK Government协会,下面所介绍的开源方法也是可行且全面替代方法。
OSSTMM:Open Source Security Testing Methodology Manual的目标是为Internet安全测试创建一个标准。它将构成这种测试的综合基线,保证执行彻底和全面的渗透测试。这能够使客户确定与其它组织问题无关的技术评估级别,如渗透测试提供者的企业资料。
OWASP:Open Web Application Security Project (OWASP)是一个开源社区项目,它通过开发软件工具和知识文档来帮助人员实现Web应用和Web服务的安全性。OWASP是系统架构师、开发人员、供应商、用户和安全专业人员在设计、开发、部署和测试Web应用和Web服务时可以使用的开源参考点。总而言之,Open Web Application Security Project 的目标是帮助所有人创建更安全的Web应用和Web服务。
结论
安全性是连续的,而非绝对的。渗透测试的价值在于它产生的结果——这也就是回答“为什么”这样一个大问题的答案。一个成功的渗透测试不只是能发现某一个特殊缺点,它还能在一开始就确定产生漏洞的过程错误。修复或修补所探测的漏洞并不意味着你就不再有安全问题了,或者高枕无忧了——这只是无限循环过程的开头而已。
CRUX:一个渗透测试并不能保证绝对安全——它只是实现安全性的一个措施。所以,“绝不要对安全性产生误判”。
翻译
TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。
相关推荐
-
确保渗透测试成功的十个秘诀(下)
成功的渗透测试与真实的攻击一样,可能会用到许多途径,涉及好多步骤,直到发现有空子可钻的目标。我们邀请了渗透测试方面的专家对如何改进计划进行指导。
-
确保渗透测试成功的十个秘诀(上)
为什么你要进行渗透测试?无论是借助内部团队、外部专家还是结合两者,你是单单满足监管要求或审计要求?还是其实希望增强企业安全?
-
网络渗透测试指导手册
渗透测试是一种最老的评估计算机系统安全性的方法。虽然渗透测试的主要目标是发现组织中网络基础架构的安全漏洞;但它也可能有许多次要目标,包括测试组织的安全问题识别和响应能力,测试员工安全知识或测试安全性政策规范等。
-
渗透测试的种类介绍
渗透测试是完全依赖于操作范围的,像入侵程度就是与范围直接关联的。因此,基于约定的范围来选择正确的渗透测试对于安全人员来说是非常重要的。