Developing Your Security Testing Plan
設定安全測試目標
選擇測試系統
制定測試標準
檢定你的黑客工具

在開始前建立計劃,應使過程結構化。
範圍再小,也要保持完整的循環以達到目標。
定義並記錄要測試的範圍,;確定你的測試標準,
收集並熟悉你要使用的工具。

Establishing Your Goals
-------------------------
為使環境更安全,可做以下步驟
1。使目標與業務目標一致,使自己和管理層能在過程中遇得最大收益。
2。建立具體有開始、有結束的時間表。

任何測試前,絕對得,積極得,把一切都記錄、驗證過,筆記任何事,
然後把管理層也參與其中,你在測試中最好的盟友就是一個支持你的管理層。

定義問題的提問:
1。你的測試是否協助了你的企業、it、安全部門等的使命。
2。透過測試可以實現什麼業務目標?包括以下這些:
    a。完成ssae18審核。
    b。符合聯邦法規,如:HIPAA,PCIDSS.
    c。符合客戶或合作夥伴的契約需求。
    d。維護企業形象。
    e。為iso27001:2013做準備
3。此測試將如何提升安全性、it、企業。
4。你要保護什麼資訊?(個人資料、智慧財產、客戶機密、企業隱私)
5。你和你的企業願意要花多少錢、時間、努力在安全評估上?
6。會有什麼具體的可交付的成果?可包括:執行報告、技術報告、測試內容、測試結果。你可以交出測試期間收集到的特定的信息,比如說密碼或其它機密資訊。
7。你想要什麼具體的成果?包括:招聘的理由、外部安全人員、增加安全預算、滿足合理需求,增強安全系統。

何時開始測試?
你的測試方法是盲測還是有知道訊息的測試(知道特定資訊比如ip、主機名稱、帳密)。我建議是後者。
你測試本質是??實體安全評估或是社交工程?
你會是在測試成員之一嗎?(或稱tigerteam或是red team
你會通知受影響方嗎?會的話,如何通知?客戶提醒是蠻重要的議題,許多客戶期待你保護他們的資訊,只是需要正確得設定他們的期待。
你怎麼知道客戶關心你在幹嘛
你如何提醒客戶,組織正在逐步加強安全性以保護他們的資訊。
什麼措施能確保這些努力可以取得成效。


花點時間建立你的目標,你不會後悔。
這些目標將是你的地圖,當你困惑時,想想這些目標以確保你在軌道上。
檢視附錄中關於目標設定與管理的其它資源。

Determining Which Systems to Test
-------------------------------------
The Pareto principle (focusing on your
highest-payoff tasks)
柏拉圖法則指出,約僅有20%的因素影響80%的結果。
也就是說:所有變因中,最重要的僅有20%,雖然剩餘的80%占了多數,
影響的幅度卻遠低於「關鍵的少數」

最要緊的系統為何?
哪個系統被無授權得使用將會導致麻煩與具大損失。
哪個系統存在攻擊弱點
哪些系統沒有記錄、很少管理、或是你不太清楚的。

考慮幾點:
1。系統或application是在網路上還是雲上。
2。系統是用什麼os和application
3。資訊的數量和類型。

系統能見度最高的。
應專注在database或fileserver,儲存著重要資訊的地方,
而不是在托管的firewall或web server

Creating Testing Standards
-----------------------------
一個錯誤溝通或是失誤都可能導致測試失敗。所以應制定並文件化測試標準。
1。照著時間表執行。
2。執行哪個測試。
3。你提前獲得了多少系統知識。
4。如何執行,從哪個ip?(如果從外部)
5。重大的缺漏出現時,要做些什麼事。

設定執行時間表,並避開風險時間,並讓傳隊成員都一致理解,大家都在同一個基準線上。
實際上可能的話,通知你的isp、csp(cloud)、當地主管機關,許多公司需要在同意測試前通知。
這些公司都有ips可偵測惡意行為,也許他們不會阻擋你,讓你可以獲得比較好的成果。

建立測試項目的執行時間表,如右表。
Test Performed                                         Start Time             Projected End Time
Web application vulnerability scanning                 June 1, 21:00 EST     June 2, 07:00
Network host vulnerability scanning                 June 2, 10:00 EST     June 3, 02:00
Network host vulnerability analysis/exploitation    June 3, 08:00 EST     June 6, 17:00

做一些愚蠢的假設:
在測試時,所有的電腦網路都可以用(不會的)
你已經有了該有工具(當你開始苦腦時,你會慶幸你有準備)
你的工具極小化你搞壞你的系統的可能,在你測試時。(通常不會,特別是你不熟你的工具時)
你知道你可能忽略了什麼(你一定會忽略)
你知道你的測試的風險。(這個風險可能特別高,尤其是你沒計劃好的時候)

Selecting Security Assessment Tools
------------------------------------
免費的最貴,花錢買的通常回報高。
 

arrow
arrow
    全站熱搜

    Joppy 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄