你的第一个企业网络渗透测试现在完成了,恭喜你!而如今你将面临数目众多的漏洞信息,但是你不仅不知道怎样通过分析它们来辨别企业的脆弱之处,也不知道怎样使用这些信息对网络加强防护。
虽然采用网络渗透测试分析的做法可能会让你头晕,但这篇文章里我们还是要详细阐述如何对渗透测试的结果数据进行分析和处理。
在对网络渗透测试进行设计期间,需要设置许多界限来防止范围蔓延(scope creep),也就是哪些设备、服务以及网络需要测试,而哪些不用测试;这个范围依赖于测试的目标。一定要记录和保存这个计划,因为测试之后它就是你的测试框架,它能帮助你判断哪些测试结果应该分析,而哪些不用分析。
举个例子,如果你的测试范围是企业中所有的路由器和交换机,那么测试任务就是检查所有跟这些设备有联系的漏洞。而在扫描过程中,数据显示一台运行着Windows操作系统的机器其实是一台易受攻击的FTP服务器。虽然这个易受攻击的服务会带来一定风险,但是花费时间去评估这个任务范围之外的设备却会影响渗透测试分析的时间安排。出现这种情况可能是一个较小的特权访问管理问题,也可能是更严重的安全破坏,但不管怎样,简单地报告这个问题并存储相关信息就可以了。
如果时间和要求允许,你可以把这个额外的数据写进报告的附录,作为测试范围外漏洞概述(需要更深入的调查)。无论如何,不要毁坏相关的测试结果,即使这些结果不属于目前需要交付的信息。
一旦你已经辨识出测试范围之内的那些漏洞测试结果,那么就要使用多种资源来验证它们的有效性。这是个重要的工作,因为不存在一种工具总是能够根据你的测试范围提供准确的信息。这些资源一般应该包括像Nmap这样的工具所提供的网络测试结果。另外,还可以把数据跟Nessus之类的漏洞评估工具所提供的结果进行比较。
在最初的渗透测试结果分析中,其关键是去除那些可能跟特定设备相关、但跟平台无关的漏洞。Windows的SMB漏洞利用程序就是一个很好的例子,虽然是针对Windows的漏洞利用程序,但是其运行平台实际上是一个运行Samba软件的Linux主机,它可以让几种非Windows的平台通过TCP/IP跟Windows系统相互联系。尽管新型的扫描器总是能更好的识别平台信息,但是由于专用安全设备,比如防火墙、IPS以及负载平衡器等的使用,得到的实际平台结果往往并不准确。
从现在开始,把渗透测试结果数据跟所有的网络文档进行比较。今天,越来越多的渗透测试是在内部进行的白盒测试,用以验证网络设计是否反映了操作执行的情况,可以对数据的相关性进行深入剖析。从这个角度看,白盒测试一般而言会更正确一些,因为实际漏洞可能会跟网络结构图、IP子网分配、服务列表以及其他的网络记录方面有联系。如果你正在运行一个内部测试并且可以访问这些信息的话,使用这些信息将帮助你避免浪费宝贵的的时间去做出针对关键漏洞的错误肯定(false-positives)。
一旦你感觉测试结果已经减少到了能够处理的数量,那么就要使用标准把识别出来的风险进行分级。这个工作应该根据安全标准进行,这些标准是一般性的,但是也可以针对自己的环境进行细微的修改。这方面有许多深入的、免费的以及易于实现的标准框架。一个是开源安全测试方法手册(OSSTMM),另外一个是开放式软件保证成熟度模型(OpenSAMM)。虽然OSSTMM是直接面向安全测试的,但是两个标准都有很好的例子可以为你的企业建立一套标准体系。
有些渗透测试工具会提供有限范围内的相对的风险级别,即不考虑其他任何控制的实际漏洞的分级。这样做既有好处又有坏处——好处是因为它能够快速的查看高风险、能被远程利用的漏洞(这些漏洞可以让攻击者利用,进而完全控制终端设备);但坏处是识别出的某种低风险漏洞有可能处于网络中受其他保护所控制的某台隐蔽的主机上,以至于这种漏洞才似乎更令人担心。
最终,测试背后的动机将决定最终测试报告的形式。比如,测试报告可能描述了渗透测试的目标以及范围、分级别的渗透测试结果、带有修正建议的结论以及一个可选附录(为了更深入的调查或者描述测试范围之外的发现等)。请记住,真正的危险等级是根据你自己定义的标准得来的,现成的高级、中级以及低级标准一般不会真实的反映出实际存在的风险。
渗透测试仍然是发现网络安全薄弱环节的重要方法,这需要花费大量的时间和努力,如果没有指定出如何使用测试结果的策略,那么进行测试是没有意义的。只有通过确认测试范围、验证结果、运用指标对它们的严重性进行分类、清楚简明地报告发现结果,才能真正反映出公司当前的网络安全风险状况。
