15.1 創(chuàng)建安全評估和測試程序
- 信息安全團隊維護活動的基石就是他們的安全評估和測試程序众雷,用來定期合適機構(gòu)與重組的安全控制以及這些安全控制可以正常運行以便有效的保護信息資產(chǎn)
15.1.1 安全測試
- 安全測試能夠驗證控制運行正常:測試包括自動掃描教沾、工具輔助滲透測試和手動測試释移,安全團隊可設(shè)計和驗證一個綜合的評估測試策略
- 安全專家仔細審核測試結(jié)果,保證每個測試是成功的
15.1.2 安全評估
- 安全評估是對系統(tǒng)、應(yīng)用程序或其他測試環(huán)境的綜合評價
- 安全評估工具的主要產(chǎn)出物是一份用于管理的評估報告,報告以非技術(shù)的語音描述評估結(jié)果侨赡,并且以具體建議作為結(jié)論,從而提高被測環(huán)境的安全性
15.1.3 安全審計
- 安全審計會使用與安全評估期間相同的許多技術(shù)粱侣,但必須由獨立的審計員執(zhí)行
- 審計員對安全控制的狀態(tài)做出的評估應(yīng)公正羊壹、無偏見,他們編寫的報告與安全評估報告非常類似
- 內(nèi)部審計由組織的內(nèi)部審計人員執(zhí)行且通常也是為了內(nèi)部使用
15.2 執(zhí)行漏洞評估
- 漏洞評估是信息安全專家工具箱的重要測試工具齐婴,為安全專家找到系統(tǒng)或應(yīng)用在技術(shù)控制方面的弱點
15.2.1 漏洞掃描
- 漏洞掃描會自動對系統(tǒng)油猫、應(yīng)用程序和網(wǎng)絡(luò)進行探測,尋找可能被攻擊者利用的弱點
- 漏洞掃描分三種
- 網(wǎng)絡(luò)發(fā)現(xiàn)掃描:使用多種技術(shù)對一系列IP地址進行掃描柠偶,搜索配有開放網(wǎng)絡(luò)端口的系統(tǒng)情妖,不能探測系統(tǒng)漏洞
- TCP SYN掃描:向每個被掃描的端口發(fā)送帶有SYN標志設(shè)置的單個數(shù)據(jù)包
- TCP 連接掃描:向指定端口的遠程系統(tǒng)打開一個全連接
- TCP ACK掃描:發(fā)送帶有ACK標志設(shè)置的單個數(shù)據(jù)包
- Xmas 掃描:發(fā)送帶有FIN、PSH和URG標志設(shè)置的數(shù)據(jù)包
- 網(wǎng)絡(luò)漏洞掃描: 在檢測到開放端口后繼續(xù)調(diào)查目標系統(tǒng)或網(wǎng)絡(luò)來查找已知漏洞诱担,還能執(zhí)行一些測試毡证,來確定系統(tǒng)是否已收到數(shù)據(jù)庫中的每個漏洞影響
- WEB漏洞掃描:在WEB應(yīng)用程序中搜尋已知漏洞的專用工具
- 網(wǎng)絡(luò)發(fā)現(xiàn)掃描:使用多種技術(shù)對一系列IP地址進行掃描柠偶,搜索配有開放網(wǎng)絡(luò)端口的系統(tǒng)情妖,不能探測系統(tǒng)漏洞
15.2.2 滲透測試
- 滲透測試:為了試圖讓安全控制失效,進入目標系統(tǒng)或應(yīng)用程序來展示缺陷
- 滲透測試分三種
- 白盒測試:為攻擊者提供目標系統(tǒng)的詳細情況蔫仙,縮短了攻擊事件并增加了發(fā)現(xiàn)安全漏洞的可能性
- 灰盒測試:部分知識測試
- 黑盒測試:不為攻擊者提供任何信息料睛,模擬外部攻擊者在進行攻擊之前試圖獲取業(yè)務(wù)和技術(shù)環(huán)境信息的情況
15.3 測試你的軟件
- 軟件是系統(tǒng)安全的關(guān)鍵組成部分,仔細測試軟件對每一個現(xiàn)代組織的機密性、完整性和可用性都是至關(guān)重要的
15.3.1 代碼審查和測試
- 代碼審核和測試可能再缺陷生效并對經(jīng)營產(chǎn)生負面影響之前發(fā)現(xiàn)安全恤煞、性能或可靠性缺陷
1屎勘、代碼審查:除了寫代碼的人以外的開發(fā)人員進行審查、查找缺陷
2居扒、靜態(tài)測試:在不運行軟件的情況下通過分析源代碼或編譯的 應(yīng)用程序?qū)浖M行評估挑秉,通常用來檢測常用軟件缺陷(如緩沖區(qū)溢出)的自動化工具
3、動態(tài)測試:在運行環(huán)境中評估軟件安全苔货,對部署別人寫的應(yīng)用程序的組織來說說通常是唯一選擇
4、模糊測試:一項專門的動態(tài)測試技術(shù)立哑,向軟件提供許多不同類型的輸入夜惭,來強調(diào)其局限性并發(fā)現(xiàn)先前未發(fā)現(xiàn)的缺陷- 變異模糊測試:從軟件的實際操作中提取之前的輸入值,對其進行處理以創(chuàng)建模糊輸入
- 智能模糊測試:開發(fā)數(shù)據(jù)模型并創(chuàng)建新的模糊輸入
15.3.2 接口測試
- 接口測試是開發(fā)復雜軟件系統(tǒng)的一個重要部分铛绰,接口測試針對接口規(guī)范的性能诈茧,以確保所有開發(fā)工作完成后模塊能正常運行
- 應(yīng)用編程接口(API):為代碼模塊提供一種標準的方式進行交互
- 用戶界面(UI):為終端用戶提供與軟件交互的能力,測試包括審查所有的用戶界面來驗證他們能否正常運作
- 物理接口:一些操作機器捂掰、邏輯控制器或物理世界中其他對象的應(yīng)用程序存在
15.3.3 誤用案例測試:
- 軟件測試人員使用稱為誤用測試案例或濫用用例測試的過程來評估他們的軟件對于那些已知風險的脆弱性
15.3.4 測試覆蓋率分析
- 軟件測試專業(yè)人員經(jīng)常進行測試覆蓋率分析敢会,進行估計對新軟件進行測試的程度
15.4 實現(xiàn)安全管理過程
15.4.1 日志審核
- 信息安全管理人員應(yīng)該定期對日志進行審查,特別是敏感功能这嚣,以確保特權(quán)用戶不濫用特例
15.4.2 賬戶管理
- 賬戶管理審核確保用戶只保留授權(quán)權(quán)限鸥昏,而沒有發(fā)生未經(jīng)授權(quán)的修改
15.4.3 備份驗證
- 管理人員定期檢查備份的結(jié)果,確保過程有效執(zhí)行姐帚,滿足組織的數(shù)據(jù)保護需求
15.4.4 關(guān)鍵性能指標和風險指標
- 安全管理人員應(yīng)該維持監(jiān)視關(guān)鍵性指標和風險指標
- 開放漏洞的數(shù)量
- 解決漏洞的時間
- 被盜賬戶的數(shù)量
- 在生產(chǎn)前掃描中發(fā)現(xiàn)的軟件缺陷數(shù)
- 重復審計發(fā)現(xiàn)
- 訪問惡意網(wǎng)站的用戶嘗試
