歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
滲透測試10大重要課題 安全實務策略
2004 / 08 / 31
Kevin Beaver
1. 書面資料不可省
你可能已經聽過幾百遍了,不管你信不信,我曾經見過一些滲透測試人員,在對重要商業營運系統作滲透測試之前,竟然沒有留下任何書面的文字記錄,包括安全經理的核准聲明與滲透測試範圍和項目。
不單單是要取得所有參與人員的書面簽字同意,還必須釐清在滲透測試過程中,發生問題時的責任歸屬,最好能替你的資產先買個保險,天知道在滲透測試過程中會發生什麼不可預期的災難,伺服器可能因此毀於一旦、資料也會隨之遺失。以商業的角度來說,你的律師與保險公司肯定會樂翻了!
2. 目標管理
正如成功的商業經營者,你必須清楚作滲透測試,到底要做到什麼程度,最後目標與底限究竟是什麼,這些目標必須清楚地條列出來,以及進行滲透測試時,你預期得到怎麼樣的成果。
根據測試結果報告,難道代表你必須建議你的顧客轉移工作平台到 Novell 或 Unix 上嗎?還是打算在安全上投入更多的預算?或是準備完全遵照政府常規所訂定的安全標準呢?當然,你在考量這些問題時,你必須清楚知道哪些資訊是企業亟欲保護的重要資產,哪些系統平台要列入滲透測試名單?
3. 切忌大鍋炒
將參與滲透測試的目標伺服器,按照重要程度排出優先次序,當然用重要的機器優先處理。這對小型網路而言,這似乎有點小題大作,但仔細想想其實還是可以排出個先後次序。
一般對於網頁、郵件與資料庫伺服器,會標上較高的優先等級,還有路由器與防火牆等資訊安全設備,也必須列入測試範疇。有一個簡單的判別方法,當該設備或伺服器發生故障無法運作時,對於企業營運的影響程度,可判定其優先等級。許多安全專家只針對外部可存取的公開伺服器,而忽略了從內部一樣可以發動入侵攻擊,記得將面對來自內部攻擊的系統威脅風險列入考量。
4. 小心漏網之魚
這個論點看似與第三點有所抵觸,但是,也不盡然。你不見得要將所有系統都測試過一遍,但是也不要忘記那些你認為比較不重要的系統,也是有可能被駭客盯上,你還是要想想這些系統有可能遭受何種攻擊方式及其手法。
一般容易被當作跳板機器的,像用戶端的工作站、SOHO族在家工作的電腦、提供單純網頁存取或網頁郵件的伺服器,都可以用來繼續攻擊其他重要系統。不要遺漏這些「小傢伙」。
5. 學著以駭客的角度思考
接下來談的是,試著想像「你就是駭客」,瞭解你的對手,雖然這是老調重彈,但是卻很實際。一個系統如果只用弱點掃瞄工具掃過一次,並不表示駭客就無法使用各種巧妙的手法進到你的系統中,這整套手法難以預測。滲透測試很難從各方面同時進行,而面面俱到,你必須確認的是,在整套測試程序中,已經包含對於駭客動機的研究與各式入侵手法的十足瞭解。
6. 工欲善其事,必先利其器
有件事情是作滲透測試時,常常想到的問題︰我不知道如果沒有這些蒐集已久的工具軟體,來幫助我完成這些事情,不論是免費軟體或是版權軟體,我該怎麼完成這些測試呢?
這也是建築工程師會告訴你的道理,「工欲善其事,必先利其器」。否則,必定是徒勞無功。作為一個安全經理,一定要瞭解你的小組成員或外聘的資安專家,是否使用正確、適用的軟體工具,雖然有些工具不是那麼簡單就可以上手,而且有些還蠻貴的,但是,相信我,這一切都會值得的。
7. 時機問題
你可曾聽過有人為了測試TCP/IP 堆疊的穩固性,而使用每分鐘近百萬個封包來重擊系統?也許你認為這類測試還在可接受的範圍,但是正如前人所言:「把握時機,把握“錢”途」。儘量不要在網路使用高峰期或上班時間,進行滲透測試,你不會想看到網路變慢、系統當機,用戶怨聲載道的情況。現在有許多資安產品的能力,足以讓本身就不穩定或過載的系統,在測試過程中停擺。記得先詳加規劃測試時程,並訴諸於文字。
8. 滲透測試不是萬靈丹
一般常見的錯誤觀念認為,只要通過滲透測試的考驗,就可以高枕無憂,這是錯誤的觀念。也許恰巧沒有在正確的地方,用上正確的工具,或該項目未排入測試程序。系統亦存在許多未發覺的弱點,想當然也不在測試名單上。滲透測試只能保證在這個時間點上、針對特定系統的安全評量。總是會有無法涵蓋的一面,像是單一路由器或使用者管理,因為疏漏、未納入考量,就有可能造成安全問題。
9. 持之以恆,奮戰不懈
第九個要點告訴我們滲透測試結果是有時效性的,因此必須要持續對系統進行測試驗證,並保持最新的更新patch。當新的威脅和系統弱點如雨後春筍般地出現,必須週期性地增加新的測試項目,並且發掘過去所忽略的弱點。總之,「持之以恆、奮戰不懈」是滲透測試的最佳寫照!
10. 事有先後緩急
許多資安管理人,認為必須把所有滲透測試發掘的安全漏洞,全部補上,是他們責無旁貸的要務。實際上是很難完全做到的。將所有安全責任的重擔,加諸於安全經理人或安全小組身上,又要求在短時間內完成,是有欠公平而且不合理的。時間管理專家建議,要排出每日工作的優先次序,優先處置緊急、有立即危害的、重要與影響度高的安全漏洞;其餘輕微甚至毫無影響的漏洞,則視時間、資源與預算為之。
以上10項議題,是筆者近年來從事滲透測試的心得,如果身為安全經理的你,可以把這些議題融入你的工作中,應該會使你的工作更輕鬆一點,也會少吃點苦頭!
作者Kevin Beaver,CISSP,Principle Logic, LLC 安全顧問公司總裁。SearchSecurity.com 專欄作家與顧問。著有︰
.Ethical Hacking for Dummies
.The Practical Guide to HIPAA Privacy and Security Compliance
.The Definitive Guide to E-mail Management and Security等專業書籍。
最新活動
2025.05.23
2025 雲端資安趨勢論壇
2025.04.30
免費【資安人才培育計畫說明講座】 資安顧問師 與 資安維運工程師 的職能發展與養成
2025.05.14
OpenText+精誠資訊【AI x DevOps打造高效敏捷團隊,提升軟體交付速度!|成功企業案例分享】
2025.05.16
資安媒合交流系列活動
看更多活動
大家都在看
MITRE ATT&CK 發布17.0版,新增 ESXi 攻擊戰術技術與程序
SSL.com 驗證漏洞:攻擊者可輕易取得重要網域憑證
國家級駭客瞄準中小企業 供應鏈成新戰場
中國駭客組織 Billbug瞄準東南亞:全新工具發動精密網路間諜戰
新型Android惡意程式 使用NFC中繼攻擊竊取信用卡資料
資安人科技網
文章推薦
Sophos:「數位殘餘」讓企業暴露於網路邊緣設備攻擊風險中
SAP NetWeaver關鍵漏洞遭駭客利用植入惡意網頁命令執行介面
資安格局重塑:Mandiant 揭露2025年五大關鍵網路威脅