也许你可能还是有疑问:我定期更新安全策略和程序,时时给系统打补丁,并采用了安全软件,以确保所有补丁都已打上,还需要渗透测试吗?需要!这些措施就好像是金库建设时的金库建设规范要求,你按照要求来建设并不表示可以高枕无忧。而请专业渗透测试人员(一般来自外部的专业安全服务公司)进行审查或渗透测试就好像是金库建设后的安全检测、评估和模拟入侵演习,来独立地检查你的网络安全策略和安全状态是否达到了期望。渗透测试能够通过识别安全问题来帮助了解当前的安全状况。到位的渗透测试可以证明你的防御确实有效,或者查出问题,帮助你阻挡可能潜在的攻击。提前发现网络中的漏洞,并进行必要的修补,就像是未雨绸缪;而被其他人发现漏洞并利用漏洞攻击系统,发生安全事故后的补救,就像是亡羊补牢。很明显未雨绸缪胜过亡羊补牢。
渗透测试能够通过识别安全问题来帮助一个单位理解当前的安全状况。这使促使许多单位开发操作规划来减少攻击或误用的威胁。
撰写良好的渗透测试结果可以帮助管理人员建立可靠的商业案例,以便证明所增加的安全性预算或者将安全性问题传达到高级管理层。
你还应该制订测试准则,譬如说:渗透测试人员可以探查漏洞并进行测试,但不得利用,因为这可能会危及到你想要保护的系统。
测试方法
有些渗透测试人员通过使用两套扫描器进行安全评估。这些工具至少能够使整个过程实现部分自动化,这样,技术娴熟的专业人员就可以专注于所发现的问题。如果探查得更深入,则需要连接到任何可疑服务,某些情况下,还要利用漏洞。
商用漏洞扫描工具在实际应用中存在一个重要的问题:如果它所做的测试未能获得肯定答案,许多产品往往会隐藏测试结果。譬如,有一款知名扫描器就存在这样的缺点:要是它无法进入Cisco路由器,或者无法用SNMP获得其软件版本号,它就不会做出这样的警告:该路由器容易受到某些拒绝服务(DoS)攻击。如果不知道扫描器隐藏了某些信息(譬如它无法对某种漏洞进行测试),你可能误以为网络是安全的,而实际上,网络的安全状况可能是危险的。
除了找到合适工具以及具备资质的组织进行渗透测试外,还应该准确确定测试范围。攻击者会借助社会工程学、偷窃、贿赂或者破门而入等手法,获得有关信息。真正的攻击者是不会仅仅满足于攻击某个企业网络的。通过该网络再攻击其它公司往往是的惯用伎俩。攻击者甚至会通过这种方法进入企业的ISP。
渗透测试也许是你的网络防御工具箱当中的重要武器之一。应该视之为各种安全审查的一部分,但要确保审查人员胜任这项工作。
-/gbadeeb/-
http://www.qdshtddzkj.com
