iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 29
0

定義

  • 撥號攻擊:自動掃描電話號碼列表。
  • 滲透測試方法:
    • 規劃
    • 勘查(Reconnaissance)
    • 掃描
    • 漏洞評估
    • 滲透攻擊(Exploitation)
    • 報告
  • 單元測試:函式,程序(Procedures)或物件。
  • 安裝測試:查看安裝程序是否可正常運行。
  • 整合測試:多個組件在一起。確保組件同時運行正常。
  • 回歸測試:測試更新,修改或補丁。
  • 驗收測試:確保符合使用者需求。
  • 模糊測試:黑箱測試及猴子測試(Monkey Testing),以查看其是否崩潰。
  • 動態分析:提供程序輸入測試所有可能發生的錯誤,弱點,漏洞等。
  • 靜態分析:分析原始碼錯誤,弱點,漏洞,模式。
  • 風險:威脅(Threat) X 漏洞(Vulnerability)

設計和驗證評估,測試和審核策略

滲透測試和主動評估,建立內容後,查找弱點或濫用案例。

  • 內部:通常通過檢查日誌,使用漏洞掃描程序掃描內部網路,檢查攝像機覆蓋範圍。
  • 外部:分析防火牆規則,IDS/IPS,端點保護,遮罩(gates)等。
  • 第三方:購買第三方的安全測試服務。

進行安全控制測試

  • 漏洞評估:
    描述系統中的大量缺陷。
  • 滲透測試:
    將弱點鏈接在一起,模擬攻擊者行為。
  • 日誌查看:
    查看日誌或設置日誌分析工具及過濾器(例如:Splunk)
  • 綜合交易:
    建立腳本案例以模擬正常活動,以捕抓並模擬流量。
  • 程式碼審查和測試:
    靜態分析和動態分析。
  • 濫用案例測試:
    可以編寫安全測試來確保服務器導向,或者使用的所有密碼雜湊值測試。
  • 測試覆蓋率分析:
    查看要測試或覆蓋的動態分析程式碼數量。
  • 介面測試:
    確保用戶看不到錯誤消息或任何不必要的內容。

安全流程資料收集(例如技術和資料管理)

  • 帳戶管理:
    監控帳戶,檢查權限並自動更改密碼。
  • 管理層的審核和批准:
    在採取行動之前,應始終將弱點和風險交給管理層。
    確定最好的計劃,以及他們要接受的風險。
  • 關鍵績效和風險指標:
    流程管理KPI。
  • 備份驗證數據:
    用於備份和驗證的資訊備份。
  • 培訓和意識:
    每個人都應該經常進行警戒性培訓,並追蹤他們的培訓狀態。
  • 災難恢復(DR)和業務連續性(BC):
    制定計劃,擬定災難發生時該怎麼辦。
    是否需要熱備援,冷備援。

分析測試報告

  • 政策和程序
  • 安全人員培訓
  • 變更管理(Change Management)
  • 架構評審
  • 漏洞報告
  • 安全性的指標報告
  • 資訊管理和修補的指標報告
  • 滲透測試(Penetration Testing)報告

上一篇
應用程式安全(Application Security)
下一篇
法律、規章、遵循性與調查(Legal, Regulations, Compliance and Investigations)
系列文
認證信息系統安全專業人員(CISSP)學習筆記30

尚未有邦友留言

立即登入留言