iT邦幫忙

2021 iThome 鐵人賽

DAY 5
1
Security

讓 Hacking for Dummies 一書陪我 30 天系列 第 5

Day 5 - 建立測試計畫

出於書本 Chapter 3. Developing Your Ethical Hacking Plan

建立測試目標

  • 建立明確的測試目標,目標要與企業目標一致。
  • 為每次的測試建立明確的時程,包含起始時間與結束時間。

下面兩項因為很重要,作者講了超過三遍:

1. 盡量詳述測試的細節,做成文件
2. 一定要有人同意執行道德駭客測試計畫,測試才能被展開。

作者給大家幾個方向去展開測試目標:

  • 組織目標或是 IT 資安等部門支持這樣的測試嗎?
  • 測試是為了達到企業的哪樣目標 ?
    • ISO/IEC 27002:2005
    • 像是 HIPAA (健康保險流通與責任法案) 這類的條款
    • 與客戶簽訂的合約
    • 加強企業形象
  • 測試如何改善安全性、IT 以及整個企業
  • 要保護的資料有哪些
  • 要花在測試的人力與金錢成本有多少
  • 測試成果有哪些?

選擇測試標的

  • 找最重要的系統
  • 找最容易被當成攻擊對象的系統
  • 找無主孤魂的系統

作者列舉的測試涵蓋範圍有:

  • Routers 與 switchers
  • 防火牆
  • 無線網路存取以及橋接
  • 網路應用程式與資料庫
  • email、檔案或印表機 server
  • 存放機密資訊的設備,如手機平板等
  • 作業系統

建立測試標準

作者認為測試標準必須包含

  • 測試什麼時候被執行以及預計執行多久
    • 比如哪個時段適合執行 DDoS 攻擊測試,哪個時間點適合執行密碼破解測試
    • 必須要有人同意測試可以在該時段執行
  • 哪些測試項目會被執行
    • 文件、文件、還是文件,不管有沒有人跟你要
    • 測試時需要開啟日誌 ( logging )
  • 盲測 vs 對系統有一定了解的測試
    • 對系統有基本了解之後再進行測試對於保護系統會很有幫助,但不代表盲測是沒有意義的。
    • 還是完全取決於需求。
  • 測試如何進行
    • 內網與外網的測試都必須被包含在測試範圍內。
  • 一但找到弱點之後該如何是好
    • 快修啊 XD

執行測試前必須要

  • 電腦與網路都必須要在執行測試時確保正常,相關人員也必須確認有空
  • 有適合的測試工具
  • 必須了解測試工具對於系統的影響會是最少的
  • 了解每個測項後面的風險

下一篇來逛一逛有哪些測試的方式


上一篇
Day 4 - 破解駭客的思考模式
下一篇
Day 6 - 從 foot-printing 開始
系列文
讓 Hacking for Dummies 一書陪我 30 天30

尚未有邦友留言

立即登入留言