渗透测试方法:创建一个网络渗透协议测试

安全
本文介绍了一种能帮助您组织和准备渗透测试的模板:交战规则(Rules of Engagement,ROE)。

问:我是一个IT审计员,我想为我们公司的端口执行入侵渗透测试,但受到了IT小组的阻扰,因为他们担心这会导致系统停机。然而,根据我的研究,执行测试使系统停机的风险很低。你觉得我该怎么说服他们?

答:在给企业做任何网络渗透测试之前,采取一些基本的行动不仅是为了保护公司,也是为了保护你自己。我能给你的一个最好建议是,使用NIST特别出版物800-115(信息安全测试和评估技术指南)中的一个模板,交战规则(Rules of Engagement,ROE)。交战规则模板将帮助您组织和准备渗透测试方法,同时也给IT部门一种印象,即你知道你在做什么,并且你对可能造成停机的问题比较关注。

例如,交战规则包括以下主要内容,您需要与IT和企业管理部门一起来完成:

介绍

a.目的  

b.范围  

c.假设和限制  

d.风险  

e.文档结构

物流

人员

a.测试进度表  

b.测试场地   

c.测试设备

沟通策略

一般沟通

a.事件处理和反应

目标系统/网络

测试执行

非技术测试组件(如,面谈、社会工程)

a.技术测试组件(如网络扫描、发现、渗透测试)   

b.数据处理

报告

签名页

测试小组组长和公司的高级管理人员(CSO、CISO、CIO等)应签署交战规则,说明他们理解测试的范围、界限和风险。

另外,还有一些额外的东西需要添加到交战规则中,以帮助IT人员了解你是站在他们这一边的:

1.允许的活动和不允许的活动内容。(例如,如果测试将导致系统中重要资产灾难性丢失,不允许对其进行渗透测试。此外,不允许在不能被中断的重大事件期间进行渗透测试。)  

2.确定那些未经授权测试的系统(如,制定一个“排除清单”)。  

3.有一个详细的事件处理和响应过程,以防在测试过程中网络发生事故。

通过完成ROE,并与IT人员紧密合作,你可以证明你的意图和能力是可信的。

【编辑推荐】

  1. 企业内部渗透测试节省预算的几点建议
  2. Web安全渗透测试之信息搜集篇
责任编辑:许凤丽 来源: TechTarget中国
相关推荐

2010-09-09 21:34:06

2016-09-09 01:14:17

2010-09-09 21:10:22

2013-11-28 10:32:10

2010-09-17 16:25:58

2013-05-23 14:50:55

2017-07-24 17:00:49

2011-11-15 10:35:26

2021-05-31 09:48:24

网络钓鱼渗透测试网络安全

2024-02-23 18:22:32

2021-07-15 10:46:21

渗透测试网络安全网络攻击

2013-11-06 16:38:59

2010-09-15 15:25:11

2023-08-24 16:50:45

2013-12-30 13:11:03

2013-12-24 13:15:59

2014-04-03 09:35:28

2013-12-10 09:51:18

2016-10-10 22:11:02

2010-09-16 16:08:46

点赞
收藏

51CTO技术栈公众号