CISSP管理者思路系列-4

admin 2025年1月6日09:31:04评论5 views字数 2119阅读7分3秒阅读模式

问题4:安全评估及测试

一家银行紧急聘请了一名安全顾问,让她来发现其业务中的任何未知的、可利用的脆弱性。在一个长假周末,一半的员工和高级管理人员都没上班。顾问决定采取积极措施,来开始她的活动。
顾问首先通过各种自动扫描工具收集了目标的初步情报。然后,她通过一个远程VPN(虚拟专用网络)连接,通过隧道传输,获得了对其中一个内部网络的访问权。在利用了该组织服务器和数据库中的其他几个漏洞之后,顾问设法自由地跨越环境的多个区域,收集尽可能多的数据。当她收集到足够的信息后,她就清除了被入侵网络中存在的所有痕迹。在接下来的一个工作日,她将安全测试的结果加密,并将密码保护报告发送给银行的高级管理团队。
Which of thefollowing was conducted by the security consultant?
安全顾问进行了下列哪项活动?
A、Vulnerability scanning 漏洞扫描
B、Penetration testing 渗透测试
C、 Hacking 黑客入侵
D、Ethical hacking 道德黑客入侵
考试策略和心态
选项A、B和D看起来很相似,对吧?这三个选项似乎都是雇佣安全顾问来为组织做的事情。但是因为它们是三个不同的选项,所以它们必然有相互区分的属性。
选项C,安全顾问看起来不像是在入侵组织,真的是这样吗?如果答案是C,那么在问题的情景中是否有什么东西让人觉得她别有用心?或者说她只是这种状况的受害者?
似乎她正在经历渗透测试员或道德黑客的角色的步骤:
  • 通过扫描工具收集情报
  • 识别和利用漏洞
  • 进入网络
  • 清除入侵的证据
  • 向高级管理层提交报告
这像是安全专家或者黑客为了破坏安全控制(compromisesecurity controls)而采取的这些系统的、按时间顺序的步骤。这是一个黑客和道德黑客之间的主要区别之处。
线索:
安全顾问是否遵循渗透测试过程的第一步和最后一步?发现和利用漏洞,这两个步骤是整个渗透测试流程中正式验证的过程。除了这两个步骤之外,还有哪种选择才是对公司保护机制的真正考验?
像管理者一样思考
安全顾问没有遵循什么程序,这可能会造成对她的所有工作变得名声不好?安全顾问忘记了哪些会导致法律问题的关键步骤?
问题解析:
A、Vulnerability scanning 漏洞扫描
漏洞扫描是整个漏洞评估过程的一部分。使用各种工具查找路由器、防火墙或服务器等设备的弱点,这在本质上可能是技术性的。使用扫描工具是一种比使用人工方法更容易和更快的方法。它们也可以反过来提供进一步渗透测试的目标清单。扫描工具有一些限制,因为它们使用签名数据库来匹配现有的漏洞。这些签名需要统一的更新,特别是在扫描之前。组织应该对扫描工具进行定期维护其特征签名库、版本或固件升级计划,以避免意外。
选项A可能是正确的,因为漏洞扫描安全顾问确实是进行了的。她使用“各种自动扫描工具”进行漏洞扫描。但这种行为实际上是不正确的,因为在没有事先获得许可的情况下,从法律的角度来看,这些自动化工具只是用于黑客攻击。
B、Penetration testing 渗透测试
渗透测试比漏洞扫描更进一步。选项A和选项B之间的一个关键区别是:漏洞可以在渗透测试中被积极利用,而漏洞在漏洞扫描中只是被发现。渗透测试需要很高的技能,并且可能对真实的系统造成真正的破坏。鉴于此,它们也是判断一个组织应对真实威胁能力的最佳方式之一。
以下是渗透测试的常见步骤:
计划过程:建立目标、范围和规则。首先确保得到管理层的书面批准。
收集目标情报:识别IP地址、端口号、网络驱动器、主机名、应用程序或员工信息。
漏洞利用:成功的漏洞利用是渗透测试的核心。
提供报告:在所有上述步骤都需要进行文件维护。将最终报告连同漏洞缓解方法安全地发送给利益相关方。
最终报告将用于确定组织承受真实安全攻击的能力,评估所需的技能水平,理解防御能力,并增加额外的可以用来抵抗今后安全攻击的安全控制。除了最重要的第一步:获得可以接触他们系统的银行高级管理团队的书面许可,安全顾问遵循了其余的适当步骤。
C、 Hacking 黑客入侵
正确答案是C,安全顾问是在入侵银行。如果银行雇佣了安全顾问来利用他们的漏洞,为什么她仍然被认为是黑客呢?如果是在合法范围内“入侵”一个组织,那么他必须首先获得高级管理人员的许可。在本案例中,即使安全顾问积极主动地处理她紧急的工作,但她没有等待正在度假的银行高级管理人员的正式书面许可。
CISSP核心概念:
黑客攻击和渗透测试之间只有一个区别:许可。CISSP的一个核心概念是:在进行任何涉及利用组织的生产环境的测试之前,您必须始终获得书面许可和范围。没有许可的话,在警方,这是黑客行为。根据计算机欺诈和滥用法案,这名顾问可能会入狱(不只是拘留所,是监狱)。
D、Ethical hacking 道德黑客入侵
道德黑客和渗透测试这两个术语可以相互关联,但并不相互排斥。它们都是试图积极利用组织系统中的弱点。仅仅因为有人是道德黑客而有人是渗透测试人员。道德黑客知晓真正黑客攻击系统的途径,但他不会去干非法的或者为了个人利益的事情---这是他们遵守的准则。

 

原文始发于微信公众号(CISSP Learning):CISSP管理者思路系列-4

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月6日09:31:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CISSP管理者思路系列-4https://cn-sec.com/archives/3590637.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息