定義

• 撥號攻擊：自動掃描電話號碼列表。
• 滲透測試方法：
  • 規劃
  • 勘查(Reconnaissance)
  • 掃描
  • 漏洞評估
  • 滲透攻擊(Exploitation)
  • 報告
• 單元測試：函式，程序(Procedures)或物件。
• 安裝測試：查看安裝程序是否可正常運行。
• 整合測試：多個組件在一起。確保組件同時運行正常。
• 回歸測試：測試更新，修改或補丁。
• 驗收測試：確保符合使用者需求。
• 模糊測試：黑箱測試及猴子測試(Monkey Testing)，以查看其是否崩潰。
• 動態分析：提供程序輸入測試所有可能發生的錯誤，弱點，漏洞等。
• 靜態分析：分析原始碼錯誤，弱點，漏洞，模式。
• 風險：威脅(Threat) X 漏洞(Vulnerability)

設計和驗證評估，測試和審核策略

滲透測試和主動評估，建立內容後，查找弱點或濫用案例。

• 內部：通常通過檢查日誌，使用漏洞掃描程序掃描內部網路，檢查攝像機覆蓋範圍。
• 外部：分析防火牆規則，IDS/IPS，端點保護，遮罩(gates)等。
• 第三方：購買第三方的安全測試服務。

進行安全控制測試

• 漏洞評估：
  描述系統中的大量缺陷。
• 滲透測試：
  將弱點鏈接在一起，模擬攻擊者行為。
• 日誌查看：
  查看日誌或設置日誌分析工具及過濾器(例如：Splunk)
• 綜合交易：
  建立腳本案例以模擬正常活動，以捕抓並模擬流量。
• 程式碼審查和測試：
  靜態分析和動態分析。
• 濫用案例測試：
  可以編寫安全測試來確保服務器導向，或者使用的所有密碼雜湊值測試。
• 測試覆蓋率分析：
  查看要測試或覆蓋的動態分析程式碼數量。
• 介面測試：
  確保用戶看不到錯誤消息或任何不必要的內容。

安全流程資料收集(例如技術和資料管理)

• 帳戶管理：
  監控帳戶，檢查權限並自動更改密碼。
• 管理層的審核和批准：
  在採取行動之前，應始終將弱點和風險交給管理層。
  確定最好的計劃，以及他們要接受的風險。
• 關鍵績效和風險指標：
  流程管理KPI。
• 備份驗證數據：
  用於備份和驗證的資訊備份。
• 培訓和意識：
  每個人都應該經常進行警戒性培訓，並追蹤他們的培訓狀態。
• 災難恢復(DR)和業務連續性(BC)：
  制定計劃，擬定災難發生時該怎麼辦。
  是否需要熱備援，冷備援。

分析測試報告

• 政策和程序
• 安全人員培訓
• 變更管理(Change Management)
• 架構評審
• 漏洞報告
• 安全性的指標報告
• 資訊管理和修補的指標報告
• 滲透測試(Penetration Testing)報告