8.2. 定義評估與測試
安全弱點偵測可以劃分為兩個類型: 從外向裡看(Outside looking in) 與 自內部檢視(inside looking around)。
當您從外在的角度進行弱點偵測時,也等於是試著從外界入侵自己的系統。身處公司的外面會讓您從怪客的角度看事情。您看到的正是怪客所看到的 — 空開的 IP 閘道位址、 DMZ 區域中的系統、防火牆上的外部介面等等。DMZ 是「非軍事區」(demilitarized zone,或稱「中立區」)的縮寫,指得是介於內部網路(例如企業的私有區域網路)與外部網路(例如網際網路)之間的電腦或小型子網路。一般來說,DMZ 包含了需要連接網際網路的伺服器,例如網頁伺服器(HTTP)、FTP伺服器、郵件伺服器(SMTP)、以及 DNS 伺服器等等。
當您自內部檢視做安全性評估時,因為您已經身處系統內,身份也是受信任的管理者,因此會比較佔優勢。這也是您與同事登入系統時,會看到的環境:列印伺服器、檔案伺服器、資料庫、以及其他資源。
這兩種安全弱點偵測類型有很大的分別,處身於公司內部將給予您提昇的權限 — 比任何的局外人都還高。於今日大部分的公司中,仍然以這種方式來設定安全性以將入侵者阻隔在外。公司內部的保全措施相當差(如部門間的防火牆使用者層級的存取控制以及內部資源的認證程序等等)。基本上,當您進行 "inside looking around" 時,您可以存取到更多的資源,因為大部分的系統都存在於公司的內部。一旦您將自己設身於公司外部,您的狀態將馬上成為未受信任的。在外部您所能的存取的系統與資源將會非常有限。
請考量在安全弱點偵測與『滲透測試』 間的相異處,請將安全弱點偵測當作滲透測試的第一步驟,從偵測收集到的資訊將會使用於測試中,然而這個偵測將會檢查安全性漏洞與潛在的弱點,滲透測試實際上將試著破壞所發現的資源。
存取網路的基礎架構是一個動態的程序,資訊與實體上的安全也都是動態的。 執行一個偵測將可顯示出一個 概要以及主動錯誤訊息(false positives) 和被動錯誤訊息(false negatives)。
安全性的管理員只是與他們所使用的工具以及他們保有的知識一樣好,請使用目前所有可用的偵測工具,並於您的系統上執行它們,將可以向您保證會出現一些主動錯誤訊息。不管是因為程式錯誤或使用者的錯誤,結果將會是相同的。這些工具也許會發現實際上不存在的弱點(主動錯誤訊息);這些工具也許不會發現實際上確實存在的弱點(被動錯誤訊息)。
現在我們已經定義了安全弱點偵測與滲透測試的不同處。正式進行滲透測試,並作為新方法前,詳細檢視這些相異處。
 | 警告 |
|---|---|
嘗試破壞生產資源的弱點,將會對您系統與網路的生產能力與效率造成相反地效果。 |
以下的清單列出執行安全弱點偵測的一些好處。
養成主動且專注於資訊安全的習慣
在怪客發現之前,找出潛在的缺失
更新系統,讓系統保持在最新狀態
促進成長與輔助職員專業技能的發展
減少財務損失與負面的公眾形象
8.2.1. 建立一個方法論
為了輔助安全弱點偵測工具的選擇,建立一個安全弱點偵測的方法論是很有幫助的。 很不幸的,目前沒有任何 預先定義好的或業界認可的方法論標準,然而一般常識與良好的實習可以當作一個足夠的指引。
什麼是我們的目標?我們是要針對一部伺服器還是要針對整個網路以及網路中的所有資源?我們是位於公司的內部或外部? 這些問題的答案是很重要的,因為它們可以輔助您決定要選擇那些工具 以及該如何使用這些工具的方法。
如需關於建立方法論的資訊,請參考下列的網站:
http://www.isecom.org/projects/osstmm.htm — 開放原始碼安全性測試方法論手冊(The Open Source Security Testing Methodology Manual) (OSSTMM)
http://www.owasp.org/ — 開放原始碼網頁應用程式安全性專案(The Open Web Application Security Project)