【TechTarget中国原创】问:如果测试人员不了解要进行渗透测试网站,赞成和反对的理由是什么?在理想状态下,测试人员应该是什么也不知道吗(为了更好的模仿攻击者的思维模式)?
答:对网站的渗透测试环境的零了解意味着渗透测试人员被告知很少的目标信息,可能只有它的URL,因此可以模仿真实的攻击者。
虽然对于预算和办公室政治的环境很有帮助,可以向老板提交报告证明即使不了解新网站的人也可以入侵进入,但是我对零了解的方法还有一些保留意见。我们知道一定百分比的攻击时来去网络边界内部的,或者来自有内部帮助的外部。如果你想要知道你的网站在所有现实情景中是否安全,零了解就不是必须的最好出发点。
零了解的方法也有潜在的缺点,它返回结果比较慢。如果预先对测试人员介绍了系统的某些基础,就会节省时间,而在产品生产的时候,时间通常是最紧张的。这里最重要的变数之一是目标的状态:是在生产还是在开发?当测试产品系统的时候,你可能想要测试人员让你尽快了解所发现的漏洞,而不是等最后的报告。假设和测试人员的合同写的很合适,你可能就可以个给漏洞打补丁,并测试补丁。当然,有人会说把渗透测试人员作为安全的改进人员可以花最少钱得到最大的效果。
最后,不管你是否选择从零了解出发,记住在不触犯法律的情况下你不可能真正的复制现实世界。你必须假定你的攻击者准备好了犯法来完成他们的目标,但是很多企业可以给渗透测试人员免死金牌。所以,你想要你的渗透测试人员可以和犯罪黑客一样思考,并把非法渗透到系统的方法写下来给你。
底线是现实世界和渗透测试是两个不同的事情。如果有安全专家定期对产品中的潜在漏洞进行测试,而安全专家完全了解产品,而不是设置不现实的测试情景,你的安全资金可以以最好的方式支出。