问题4:安全评估及测试
一家银行紧急聘请了一名安全顾问,让她来发现其业务中的任何未知的、可利用的脆弱性。在一个长假周末,一半的员工和高级管理人员都没上班。顾问决定采取积极措施,来开始她的活动。
顾问首先通过各种自动扫描工具收集了目标的初步情报。然后,她通过一个远程VPN(虚拟专用网络)连接,通过隧道传输,获得了对其中一个内部网络的访问权。在利用了该组织服务器和数据库中的其他几个漏洞之后,顾问设法自由地跨越环境的多个区域,收集尽可能多的数据。当她收集到足够的信息后,她就清除了被入侵网络中存在的所有痕迹。在接下来的一个工作日,她将安全测试的结果加密,并将密码保护报告发送给银行的高级管理团队。
Which of thefollowing was conducted by the security consultant?
A、Vulnerability scanning 漏洞扫描
B、Penetration testing 渗透测试
选项A、B和D看起来很相似,对吧?这三个选项似乎都是雇佣安全顾问来为组织做的事情。但是因为它们是三个不同的选项,所以它们必然有相互区分的属性。
选项C,安全顾问看起来不像是在入侵组织,真的是这样吗?如果答案是C,那么在问题的情景中是否有什么东西让人觉得她别有用心?或者说她只是这种状况的受害者?
这像是安全专家或者黑客为了破坏安全控制(compromisesecurity controls)而采取的这些系统的、按时间顺序的步骤。这是一个黑客和道德黑客之间的主要区别之处。
安全顾问是否遵循渗透测试过程的第一步和最后一步?发现和利用漏洞,这两个步骤是整个渗透测试流程中正式验证的过程。除了这两个步骤之外,还有哪种选择才是对公司保护机制的真正考验?
安全顾问没有遵循什么程序,这可能会造成对她的所有工作变得名声不好?安全顾问忘记了哪些会导致法律问题的关键步骤?
A、Vulnerability scanning 漏洞扫描
漏洞扫描是整个漏洞评估过程的一部分。使用各种工具查找路由器、防火墙或服务器等设备的弱点,这在本质上可能是技术性的。使用扫描工具是一种比使用人工方法更容易和更快的方法。它们也可以反过来提供进一步渗透测试的目标清单。扫描工具有一些限制,因为它们使用签名数据库来匹配现有的漏洞。这些签名需要统一的更新,特别是在扫描之前。组织应该对扫描工具进行定期维护其特征签名库、版本或固件升级计划,以避免意外。
选项A可能是正确的,因为漏洞扫描安全顾问确实是进行了的。她使用“各种自动扫描工具”进行漏洞扫描。但这种行为实际上是不正确的,因为在没有事先获得许可的情况下,从法律的角度来看,这些自动化工具只是用于黑客攻击。
B、Penetration testing 渗透测试
渗透测试比漏洞扫描更进一步。选项A和选项B之间的一个关键区别是:漏洞可以在渗透测试中被积极利用,而漏洞在漏洞扫描中只是被发现。渗透测试需要很高的技能,并且可能对真实的系统造成真正的破坏。鉴于此,它们也是判断一个组织应对真实威胁能力的最佳方式之一。
计划过程:建立目标、范围和规则。首先确保得到管理层的书面批准。
收集目标情报:识别IP地址、端口号、网络驱动器、主机名、应用程序或员工信息。
提供报告:在所有上述步骤都需要进行文件维护。将最终报告连同漏洞缓解方法安全地发送给利益相关方。
最终报告将用于确定组织承受真实安全攻击的能力,评估所需的技能水平,理解防御能力,并增加额外的可以用来抵抗今后安全攻击的安全控制。除了最重要的第一步:获得可以接触他们系统的银行高级管理团队的书面许可,安全顾问遵循了其余的适当步骤。
正确答案是C,安全顾问是在入侵银行。如果银行雇佣了安全顾问来利用他们的漏洞,为什么她仍然被认为是黑客呢?如果是在合法范围内“入侵”一个组织,那么他必须首先获得高级管理人员的许可。在本案例中,即使安全顾问积极主动地处理她紧急的工作,但她没有等待正在度假的银行高级管理人员的正式书面许可。
黑客攻击和渗透测试之间只有一个区别:许可。CISSP的一个核心概念是:在进行任何涉及利用组织的生产环境的测试之前,您必须始终获得书面许可和范围。没有许可的话,在警方,这是黑客行为。根据计算机欺诈和滥用法案,这名顾问可能会入狱(不只是拘留所,是监狱)。
道德黑客和渗透测试这两个术语可以相互关联,但并不相互排斥。它们都是试图积极利用组织系统中的弱点。仅仅因为有人是道德黑客而有人是渗透测试人员。道德黑客知晓真正黑客攻击系统的途径,但他不会去干非法的或者为了个人利益的事情---这是他们遵守的准则。
原文始发于微信公众号(CISSP Learning):CISSP管理者思路系列-4
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3590637.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论