滲透測試方法:創建一個網絡滲透協議測試
問:我是一個IT審計員,我想為我們公司的端口執行入侵滲透測試,但受到了IT小組的阻擾,因為他們擔心這會導致系統停機。然而,根據我的研究,執行測試使系統停機的風險很低。你覺得我該怎么說服他們?
答:在給企業做任何網絡滲透測試之前,采取一些基本的行動不僅是為了保護公司,也是為了保護你自己。我能給你的一個最好建議是,使用NIST特別出版物800-115(信息安全測試和評估技術指南)中的一個模板,交戰規則(Rules of Engagement,ROE)。交戰規則模板將幫助您組織和準備滲透測試方法,同時也給IT部門一種印象,即你知道你在做什么,并且你對可能造成停機的問題比較關注。
例如,交戰規則包括以下主要內容,您需要與IT和企業管理部門一起來完成:
介紹
a.目的
b.范圍
c.假設和限制
d.風險
e.文檔結構
物流
人員
a.測試進度表
b.測試場地
c.測試設備
溝通策略
一般溝通
a.事件處理和反應
目標系統/網絡
測試執行
非技術測試組件(如,面談、社會工程)
a.技術測試組件(如網絡掃描、發現、滲透測試)
b.數據處理
報告
簽名頁
測試小組組長和公司的高級管理人員(CSO、CISO、CIO等)應簽署交戰規則,說明他們理解測試的范圍、界限和風險。
另外,還有一些額外的東西需要添加到交戰規則中,以幫助IT人員了解你是站在他們這一邊的:
1.允許的活動和不允許的活動內容。(例如,如果測試將導致系統中重要資產災難性丟失,不允許對其進行滲透測試。此外,不允許在不能被中斷的重大事件期間進行滲透測試。)
2.確定那些未經授權測試的系統(如,制定一個“排除清單”)。
3.有一個詳細的事件處理和響應過程,以防在測試過程中網絡發生事故。
通過完成ROE,并與IT人員緊密合作,你可以證明你的意圖和能力是可信的。
【編輯推薦】
