问:我是一个IT审计员,我想为我们公司的端口执行入侵渗透测试,但受到了IT小组的阻扰,因为他们担心这会导致系统停机。然而,根据我的研究,执行测试使系统停机的风险很低。你觉得我该怎么说服他们?
答:在给企业做任何网络渗透测试之前,采取一些基本的行动不仅是为了保护公司,也是为了保护你自己。我能给你的一个最好建议是,使用NIST特别出版物800-115(信息安全测试和评估技术指南)中的一个模板,交战规则(Rules of Engagement,ROE)。交战规则模板将帮助您组织和准备渗透测试方法,同时也给IT部门一种印象,即你知道你在做什么,并且你对可能造成停机的问题比较关注。
例如,交战规则包括以下主要内容,您需要与IT和企业管理部门一起来完成:
介绍
a.目的
b.范围
c.假设和限制
d.风险
e.文档结构
物流
人员
a.测试进度表
b.测试场地
c.测试设备
沟通策略
一般沟通
a.事件处理和反应
目标系统/网络
测试执行
非技术测试组件(如,面谈、社会工程)
a.技术测试组件(如网络扫描、发现、渗透测试)
b.数据处理
报告
签名页
测试小组组长和公司的高级管理人员(CSO、CISO、CIO等)应签署交战规则,说明他们理解测试的范围、界限和风险。
另外,还有一些额外的东西需要添加到交战规则中,以帮助IT人员了解你是站在他们这一边的:
1.允许的活动和不允许的活动内容。(例如,如果测试将导致系统中重要资产灾难性丢失,不允许对其进行渗透测试。此外,不允许在不能被中断的重大事件期间进行渗透测试。)
2.确定那些未经授权测试的系统(如,制定一个“排除清单”)。
3.有一个详细的事件处理和响应过程,以防在测试过程中网络发生事故。
通过完成ROE,并与IT人员紧密合作,你可以证明你的意图和能力是可信的。
【编辑推荐】
