成功執行滲透測試的其一個主要因素是底層的方法。缺少正式的方法意味著沒有一致性——我很確定這一點——你一定不希望成為那個受邀卻無視測試人員漫無目的地操作的人。雖然滲透測試人員需要有適合的專業技術，但也不能缺少正確的方法。換句話說，一個正式的方法應該能夠提供一個用于構建完整且準確的滲透測試的嚴格框架，但是不能夠有限制——它應該允許測試人員充分發揮各自的聰明才智。

由Pete Herzog提出的Open Source Security Testing Methodology Manual (OSSTMM)已經成為執行滲透測試和獲得安全基準的事實方法。根據Pete Herzog的觀點，“OSSTMM的主要目標是實現透明度。它實現了對那些不具備充足安全配置和政策的人的透明度。它實現了對那些沒有執行足夠安全性和滲透測試的人的透明度。它實現了對那些已經很缺乏安全預算的犧牲者仍然盡力壓榨其每一分預算的無良安全供應商的透明度；以及對那些回避商業價值而炒作法律規范、網絡破壞和黑客等威脅的人的透明度。OSSTMM的滲透測試范疇包括從初始需求分析到生成報告的整個風險評估過程。”這個測試方法包含了六個方面：

◆信息安全性

◆過程安全性

◆Internet技術安全性

◆通信安全性

◆無線安全性

◆物理安全性

OSSTMM關注測試項的技術細節，在安全必測試之前、期間和之后需要做什么，以及如何界定結果。針對國際化最初實踐方法、法律、規章和道德問題的新測試都會定期增加和更新。

National Institute of Standards and Technology (NIST)在Special Publication 800-42, Guideline on Network Security Testing中討論了滲透測試。NIST的方法雖然不及OSSTMM全面，但是它更可能被管理部門所接受。

另一個需要注意的方面是滲透測試服務提供商。每一個單位在滲透測試過程中最擔心的一個問題是敏感信息可能通過錯誤的路徑。因此，收集盡可能多關于公司的信息變得非常重要（如他們的技術能力、證書、經驗、方法和所使用的工具），并且要保證他們是專業人員。此外，有一些專業的官方證書可以表明公司的可信賴程度及其與行業最佳實踐的一致性。

滲透測試標準

讓我們看一些現有的標準和準則：

信息系統審計標準（ISACA）：ISACA是在1967年成立的，并且成為領先的全球性信息管理、控制、安全和審計專家組織。它的IS審計和IS控制標準得到了世界范圍的實踐應用，而且它的研究能精確定位威脅它組成成分的專業問題。CISA，即Certified Information Systems Auditor，是ISACA的基礎認證。

CHECK：CESG IT Health Check模式是專門用于保證敏感管理網絡和那些組成GSI（Government Secure Intranet）和CNI（Critical National Infrastructure）的組件是安全的且經過較高級別的測試。這個方法的目標是發現IT系統和網絡中發現可能威脅IT系統信息的保密性、完整性和可用性的漏洞。只有在需要對HMG或相關部分測試時才需要CHECK咨詢公司的參與，并且他們也要滿足以上要求。CHECK已經成了滲透測試及UK內滲透測試的事實標準。屬于CHECK的公司必須擁有明確安全性且通過CESG Hacking Assault Course的員工。然而，除了UK Government協會，下面所介紹的開源方法也是可行且全面替代方法。

OSSTMM：Open Source Security Testing Methodology Manual的目標是為Internet安全測試創建一個標準。它將構成這種測試的綜合基線，保證執行徹底和全面的滲透測試。這能夠使客戶確定與其它組織問題無關的技術評估級別，如滲透測試提供者的企業資料。

OWASP：Open Web Application Security Project (OWASP)是一個開源社區項目，它通過開發軟件工具和知識文檔來幫助人員實現Web應用和Web服務的安全性。OWASP是系統架構師、開發人員、供應商、用戶和安全專業人員在設計、開發、部署和測試Web應用和Web服務時可以使用的開源參考點。總而言之，Open Web Application Security Project 的目標是幫助所有人創建更安全的Web應用和Web服務。

結論

安全性是連續的，而非絕對的。滲透測試的價值在于它產生的結果——這也就是回答“為什么”這樣一個大問題的答案。一個成功的滲透測試不只是能發現某一個特殊缺點，它還能在一開始就確定產生漏洞的過程錯誤。修復或修補所探測的漏洞并不意味著你就不再有安全問題了，或者高枕無憂了——這只是無限循環過程的開頭而已。

CRUX：一個滲透測試并不能保證絕對安全——它只是實現安全性的一個措施。所以，“絕不要對安全性產生誤判”。

【編輯推薦】

1. 滲透測試方法：創建一個網絡滲透協議測試
2. 滲透測試的種類介紹