【TechTarget中国原创】在互联网刚刚兴起的时候,我们经常可以听到渗透测试,但是最近几年这种狂热已经减轻了。这种信息风险评估方式——21世纪中它的名字是道德黑客——正在复兴。人们开始看到以黑客的方式思考来防御黑客是全面信息风险管理项目的不可或缺的一部分。
在过去几年中,我们看到了很多道德黑客的正面和反面的意见,但是我想要和TechTarget中国的读者们分享我以自己的经验和其他人的成败中总结出的10条经验。希望其中一两条可以对你的道德黑客工作有所帮助。
1.必须有书面资料
你已经听到一千遍了,但是不管你信不信,我曾看到过在没有任何书面材料的情况下,安全专家就在关键的业务系统上进行——而且安全经历也同意——道德黑客活动。你可能已经涵盖了你的资产,而且不仅需要参与各方的基本的结束信息,而且还要考虑和记录谁要(谁不要)在测试中出错的时候负责任。在道德黑客活动中也会有不好事情的发生——服务器可能崩溃,数据可能丢失。从业务的角度考虑这个问题。你的律师和保险商会以你为傲的。
2.必须要有目标
和成功的商业投资一样,你需要确定经过道德黑客活动,想要取得什么样的具体结果。你期待什么样的救国?是为了证明你需要迁移到Novell或者Unix的平台吗?想要在安全方面获得更多的资金吗?是为了遵守政府法规或者满足安全标准吗?还有问问自己想要保护那些信息,哪些系统需要测试。
3. 不要一次性测试所有系统
这一条不适用于小型网络,但是谁还再使用“小型”网络呢?排列需要测试的系统,并首先测试最重要的系统。这些可能是Web、邮件或者数据库服务器,甚至是路由器和防火墙等边界设备。查找失败的单独的节点或者业务不能缺少的系统。很多安全专家都只关注可以公共访问的主机。记住,黑客活动可能发生在网络内部,所以不要完即内部威胁以及可能受到影响的系统。
4.不要忘记测试“不重要”的系统
这一点和第三条有冲突。这么说不准确。你不需要测试所有的系统,但是这对于思考攻击的发生以及对其他不太重要的系统产生的影响有所帮助。没有机密数据的工作站、远距离工作的家用电脑或者只提供基础邮件访问的Web服务器都会被用于攻击其他更重要的系统的跳板。不要排除流氓“小人物”。
5.以敌人的方式思考很有帮助
紧跟第四条经验的是经过证明的好经验“了解你的敌人”。这可能是老调重弹,但却是正确的。如果系统的测试只使用了最新的自动化工具,而没有考虑所有的其他可能发生的各种手动攻击的方式,就不能看到全景。对每一种可能的黑客活动从每个角度都进行测试是不可能的。关键是要确保确实进行了研究,而且理解了黑客的动机和方式,并以此构成了道德测试项目的一部分。