问:我是一个IT审计员,我想为我们公司的端口履行入侵渗透测试,但受到了IT小组的阻扰,因为他们担心这会导致系统停机。然而,根据我的研究,履行测试使系统停机的风险很低。你感到我该怎么说服他们?
答:在给企业做任何网络渗透测试之前,采用一些基础的举动不仅是为了保护公司,也是为了保护你自己。我能给你的一个最好建议是,应用NIST特别出版物800-115(信息安全测试和评估技巧指南)中的一个模板,交战规矩(Rules of Engagement,ROE)。交战规矩模板将帮助您组织和筹备渗透测试方法,同时也给IT部门一种印象,即你知道你在做什么,并且你对可能造成停机的问题比较关注。
例如,交战规矩包含以下重要内容,您需要与IT和企业管理部门一起来完成:
介绍
a.目标
b.范畴
c.假设和限制
d.风险
e.文档结构
物流
人员
a.测试进度表
b.测试场地
c.测试设备
沟通策略
一般沟通
a.事件处理和反应
目标系统/网络
测试履行
非技巧测试组件(如,面谈、社会工程)
a.技巧测试组件(如网络扫描、发明、渗透测试)
b.数据处理
报告
签名页
测试小组组长和公司的高级管理人员(CSO、CISO、CIO等)应签订交战规矩,阐明他们懂得测试的范畴、界限和风险。
另外,还有一些额外的东西需要添加到交战规矩中,以帮助IT人员懂得你是站在他们这一边的:
1.容许的运动和不容许的运动内容。(例如,如果测试将导致系统中重要资产灾害性丧失,不容许对其进行渗透测试。此外,不容许在不能被中断的重大事件期间进行渗透测试。)
2.断定那些未经授权测试的系统(如,制定一个“消除清单”)。
3.有一个详细的事件处理和响应过程,以防在测试过程中网络产生事故。
通过完成ROE,并与IT人员紧密合作,你可以证明你的意图和才能是可信的。
相关阅读