一個良好的滲透測試是什么組成的？

雖然執(zhí)行一個滲透測試有許多明顯的優(yōu)點——執(zhí)行滲透測試的價值在于它的結(jié)果。這些結(jié)果必須是有價值的，而且對于客戶來說必須是很容易理解的。有一個常見的誤解是認(rèn)為滲透測試只是使用一些時髦的自動化安全工具，并處理所生成的報告。但是，成功執(zhí)行一個浸透測試并不僅僅是需要安全工具。雖然這些自動化安全測試工具在實踐中扮演了重要的角色，但是它們也是有缺點的。事實上，這些工具一直無法真正模擬一個高深攻擊者的行為。不管安全工具完成的報告有多么全面，其中總是有一些需要解釋的問題。

讓我們看看構(gòu)成一個良好滲透測試的一些關(guān)鍵因素：

◆建立參數(shù)：定義工作范圍是執(zhí)行一個成功滲透測試的第一步，也是最重要的一步。這包括定義邊界、目標(biāo)和過程驗證（成功條件）。

◆專業(yè)人員：配備技術(shù)熟練和經(jīng)驗豐富的咨詢?nèi)藛T執(zhí)行測試——他們了解自己要做什么。換句話說，專業(yè)人員與一般人員是不同的。要保證他們是：

能勝任的

經(jīng)驗豐富的

遵守保密協(xié)議

◆選擇足夠的測試集：手工的和自動的都會影響成功/效益之間的最佳平衡。

◆遵循正確的方法：這并不是猜謎游戲。所有方面都需要規(guī)劃、文檔化和符合要求。

◆結(jié)果值：結(jié)果應(yīng)該詳細(xì)地寫入文檔，并且要盡力使它們能被客戶所理解。不管是技術(shù)報告還是執(zhí)行總結(jié)，都需要一些注釋。應(yīng)用安排一些安全咨詢?nèi)藛T/測試人員來回復(fù)問題或解釋結(jié)果。

◆測試結(jié)果與建議：這是滲透測試的一個非常重要的部分。最終的報告必須清晰地說明成果，必須將成果與潛在的風(fēng)險對應(yīng)。這應(yīng)該會附帶產(chǎn)生一個基于最佳安全實踐方法的修正路線圖。

在我們討論浸透測試中所使用的測試策略和技術(shù)之前，讓我們先看一些可能很有用的場景：

◆建立新的辦公室

不管是建立新的公司或增加新的辦公點，浸透測試都有助于確定網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中的潛在漏洞。例如，在增加新辦公點時執(zhí)行內(nèi)部測試是非常重要的，因為它會檢查網(wǎng)絡(luò)資源的可用性，并檢查這些辦公點之間傳輸?shù)牧髁款愋汀?/P>

◆部署新的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)

每一個新的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)都應(yīng)該能模擬黑客行為進行全面的測試。當(dāng)執(zhí)行外部測試（預(yù)先不太了解基礎(chǔ)架構(gòu)）來保證邊界安全性時，我們也應(yīng)該執(zhí)行內(nèi)部測試來保證網(wǎng)絡(luò)資源，如：服務(wù)器、存儲、路由和訪問設(shè)備，在邊界受到攻擊時仍然是足夠安全的，而且基礎(chǔ)架構(gòu)是能夠抗拒任何攻擊的。

◆修改/升級現(xiàn)有的基礎(chǔ)架構(gòu)

修改是不可避免的——可能是軟件、硬件或網(wǎng)絡(luò)設(shè)計，由于需要功能改進；修復(fù)重大缺陷和/或應(yīng)用新的需求，都可能引起修改/升級。不管現(xiàn)有的基礎(chǔ)架構(gòu)在什么時候發(fā)生變化，它都應(yīng)該再次測試，以保證不會出現(xiàn)新的漏洞。必要測試的數(shù)量取決于基礎(chǔ)架構(gòu)修改的特征和程度。細(xì)小的變化，如配置變更為特定規(guī)則，將只需要進行端口掃描來保證預(yù)期的防火墻行為，而重大的變化，如關(guān)鍵設(shè)備/OS版本升級，可能就需要徹底重新測試。

◆部署新應(yīng)用

當(dāng)基礎(chǔ)架構(gòu)進行徹底測試之后，新的應(yīng)用（不管是連接Internet的或是在Intranet中）在部署到生產(chǎn)環(huán)境之前也都必須進行安全性測試。這個測試需要在“實際的”平臺上進行，以保證這個應(yīng)用只使用預(yù)定義的端口，而且代碼本身也是安全的。

◆修改/升級一個現(xiàn)有應(yīng)用

隨著基本架構(gòu)發(fā)生變化，本質(zhì)上應(yīng)用也會發(fā)生變化。細(xì)小的變化，如用戶帳號修改，都不需要測試。但是，重大的變化，包括應(yīng)用功能變化，都應(yīng)該徹底重新測試。

◆定期重復(fù)測試

管理安全性并非易事，而公司不應(yīng)該認(rèn)為滲透測試就是所有安全問題的最終解決辦法。如果這樣認(rèn)為，那么他們只是相信了假的安全性。對敏感系統(tǒng)定期執(zhí)行測試來保證不會出現(xiàn)不按計劃的變化，一直都是一個非常好的實踐方法。

【編輯推薦】

1. 企業(yè)內(nèi)部滲透測試節(jié)省預(yù)算的幾點建議
2. 滲透測試方法：創(chuàng)建一個網(wǎng)絡(luò)滲透協(xié)議測試