10個(gè)秘訣表明你需要明白***測(cè)試的目的和重點(diǎn)，制定高效的測(cè)試策略，有效地利用你的人員，以及最有效地利用***測(cè)試的結(jié)果，以便補(bǔ)救問題、改進(jìn)流程以及不斷改善企業(yè)的安全狀況。
第1個(gè)秘訣：確定目的。
***測(cè)試（其實(shí)所有信息安全活動(dòng)）的目的是保護(hù)企業(yè)。目的倒不是說你利用很酷的技術(shù)活來鉆漏洞的空子，而是發(fā)現(xiàn)企業(yè)在哪個(gè)環(huán)節(jié)面臨最大的風(fēng)險(xiǎn)。InGuardians公司的創(chuàng)始人兼高級(jí)安全顧問Ed Skoudis說：“要是你無法從我公司的角度來進(jìn)行表述，那你無法給我?guī)韮r(jià)值。不要告訴我你鉆了某個(gè)漏洞的空子，獲得了某個(gè)硬件設(shè)備的外殼程序，卻不告訴我這對(duì)我公司來說意味著什么?！?br /> 目的不應(yīng)該是僅僅為***測(cè)試弄一份復(fù)選框，羅列相關(guān)內(nèi)容，以滿足合規(guī)要求，比如支付卡行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）。***測(cè)試的目的應(yīng)該不僅僅是查找漏洞（漏洞掃描應(yīng)該是***測(cè)試計(jì)劃的一部分，但代替不了***測(cè)試）。除非***測(cè)試是發(fā)現(xiàn)、利用和糾正安全漏洞的一項(xiàng)可持續(xù)計(jì)劃的一部分，否則就算你投入了財(cái)力和精力，換來的充其量還是表示通過的那個(gè)勾號(hào)；最糟糕的情況是，通不過目光敏銳的評(píng)估人員的審計(jì)。
第2個(gè)秘訣：關(guān)注數(shù)據(jù)。
關(guān)鍵的步驟是縮小***測(cè)試的范圍，重點(diǎn)關(guān)注數(shù)據(jù)發(fā)現(xiàn)：確定哪些敏感數(shù)據(jù)面臨風(fēng)險(xiǎn)，它們?cè)谀睦?。接下來的任?wù)是，扮演***者的角色，搞清楚如何找出漏洞。Verizon安全解決方案公司的全球產(chǎn)品經(jīng)理Omar Khawaja說：“在許多情況下，客戶有成千上萬個(gè)IP地址，希望我們對(duì)這么多地址進(jìn)行***測(cè)試。我們可以運(yùn)行漏洞測(cè)試，看看什么部分最脆弱，可是這對(duì)貴企業(yè)來說可能不是最重要的?！?br />第3個(gè)秘訣：與業(yè)務(wù)負(fù)責(zé)人交流。
要與業(yè)務(wù)部門的人合作。他們知道什么面臨危險(xiǎn)，知道哪些數(shù)據(jù)很關(guān)鍵、哪些應(yīng)用程序在創(chuàng)建和聯(lián)系這些數(shù)據(jù)。他們至少知道數(shù)據(jù)放在哪些比較明顯的地方。他們還會(huì)告訴你哪些應(yīng)用程序必須保持正常運(yùn)行。InGuardians公司的Skoudis說：“先確定范圍，包括關(guān)鍵的信息資產(chǎn)和業(yè)務(wù)交易處理。然后與***測(cè)試團(tuán)隊(duì)和管理人員開頭腦風(fēng)暴會(huì)。”
第4個(gè)秘訣：根據(jù)風(fēng)險(xiǎn)高低，進(jìn)行測(cè)試。
進(jìn)行哪種類型的測(cè)試，應(yīng)取決于數(shù)據(jù)/應(yīng)用程序的價(jià)值。對(duì)于低風(fēng)險(xiǎn)資產(chǎn)，定期的漏洞掃描無異于經(jīng)濟(jì)高效地利用資源。中等風(fēng)險(xiǎn)的資產(chǎn)可能需要結(jié)合漏洞掃描和手動(dòng)的漏洞檢查。至于高風(fēng)險(xiǎn)資產(chǎn)，應(yīng)進(jìn)行***測(cè)試，尋找可利用的漏洞。
第5個(gè)秘訣：了解***者的概況。
了解***者概況時(shí)要考慮的一個(gè)因素是動(dòng)機(jī)。Core Security公司的Solino說：“我們基本了解了某個(gè)***者會(huì)對(duì)目標(biāo)搞什么破壞，對(duì)此我們分得很清楚。針對(duì)每一種概況，我們獲得***測(cè)試的結(jié)果，然后再了解另一種概況。”
第6個(gè)秘訣：掌握的信息越多越好。
Verizon公司的Khawaja說：“我們?cè)絹碓蕉嗟亻_始采用社會(huì)工程學(xué)方法。這實(shí)際上是一種偵察手段（在客戶許可的情況下進(jìn)行），讓我們得以在環(huán)境中找到可以幫助我們潛入進(jìn)去的每個(gè)薄弱環(huán)節(jié)?！倍嚯A段的***測(cè)試通常是重復(fù)進(jìn)行偵察、評(píng)估漏洞和利用漏洞，每一步都為你提供更深入地***到網(wǎng)絡(luò)的信息。
第7個(gè)秘訣：考慮所有***途徑。
全面深入的***測(cè)試會(huì)根據(jù)***者的最終目的，而不是根據(jù)每個(gè)***途徑的脆弱性，逐一測(cè)試所有這些潛在的***途徑。Solino說：“要是幾年前，我們會(huì)進(jìn)行網(wǎng)絡(luò)***測(cè)試、應(yīng)用***測(cè)試和無線***測(cè)試；后來我們退一步說‘這么做毫無意義’。壞人才不說‘我只能通過網(wǎng)絡(luò)闖入到系統(tǒng)’?！盞hawaja表示，比如說，Verizon公司的***測(cè)試人員無法直接闖入可以訪問敏感數(shù)據(jù)庫(kù)的Web服務(wù)器。如果測(cè)試人員的目光局限于測(cè)試這臺(tái)服務(wù)器上的Web應(yīng)用程序，那么得出的結(jié)論會(huì)是：數(shù)據(jù)是安全的。但如果站在以數(shù)據(jù)為中心的角度，他們會(huì)發(fā)現(xiàn)與這臺(tái)Web服務(wù)器連接的第二臺(tái)Web服務(wù)器有一個(gè)重大漏洞，***者可以利用該漏洞來訪問第一臺(tái)Web服務(wù)器，進(jìn)而訪問那個(gè)敏感數(shù)據(jù)庫(kù)。
第8個(gè)秘訣：確定交戰(zhàn)規(guī)則。
***測(cè)試模擬***行為，但它不是一種***。需要制定規(guī)則，確定什么可以做，什么不可以做，什么時(shí)候做，誰需要知道內(nèi)情。確定是黑盒測(cè)試還是白盒測(cè)試。
第9個(gè)秘訣：報(bào)告測(cè)試結(jié)果，并衡量進(jìn)度。
***測(cè)試的目的是為了改善安全狀況，所以如果你在進(jìn)行內(nèi)部測(cè)試，測(cè)試報(bào)告應(yīng)該會(huì)提供實(shí)用而具體的信息，以便你付諸實(shí)際行動(dòng)。InGuardians公司的Skoudis說：“目的是有助于增強(qiáng)安全性，以便管理人員做決定來改進(jìn)業(yè)務(wù)，并且?guī)椭\(yùn)營(yíng)團(tuán)隊(duì)增強(qiáng)安全性?！蹦銘?yīng)該出示一份測(cè)試摘要，不過報(bào)告重點(diǎn)應(yīng)包括詳細(xì)描述這些方面的內(nèi)容：發(fā)現(xiàn)的漏洞，如何利用這些漏洞，以及萬一真的發(fā)生***，哪些資產(chǎn)面臨風(fēng)險(xiǎn)。詳細(xì)介紹用來***的每個(gè)步驟、被利用的每個(gè)漏洞，最重要的可能是所有***途徑。
第10個(gè)秘訣：決定誰是***測(cè)試人員。
Core Security公司的Solino表示，有望成為***測(cè)試人員的優(yōu)秀培訓(xùn)對(duì)象要深入了解各種網(wǎng)絡(luò)和應(yīng)用協(xié)議，這是基礎(chǔ)。他通常注重好奇心和***的心理素質(zhì)?！凹纫蠭T知識(shí)，還要具備不相信系統(tǒng)是安全的態(tài)度，主張‘大膽試一試！’’?！盨koudis說：“***測(cè)試是門藝術(shù)。雖說有一些工具和方法，但你在尋找目標(biāo)系統(tǒng)和應(yīng)用程序存在的問題時(shí)一定要有創(chuàng)意、有想法?！?/p>

轉(zhuǎn)載于:https://blog.51cto.com/ynhu33/468474

總結(jié)

以上是生活随笔為你收集整理的确保***测试计划成功的10个秘诀（语录）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。