假设我有一个渗透测试员在我的数据中心工作。她正在测试我的系统,并且可能发现了一些问题,从而使她能够获得对公司网络深处子网内机器的 root 访问权限。
我怎么能确定,在工作完成后,这个系统不会被永久破坏?
问题出现了:我如何监控渗透测试人员在渗透测试期间所做的事情,以确保对我的基础架构没有长期影响?
我想过的解决方案:
这将保护范围内的机器,但熟练的黑客可以访问同一子网中的其他服务器和/或从她已访问另一台机器的服务器中枢转。
如果渗透测试仪发出很大的噪音,并且如果测试需要几天时间,那么它也非常昂贵。
成本也非常高,接近法医调查并且容易出错。那时我可能可以自己做渗透测试。
足够近?这是唯一的解决方案吗?还是有其他方法可以更好地监控渗透测试人员?
除非绝对必要,否则不要让您的渗透测试人员访问您的生产系统。相反,创建一个具有相同配置但没有任何敏感数据存储在数据库等中的虚拟系统。如果你让渗透测试者在生产系统上工作,你将不得不信任它们。如果绝对有必要让不可信的渗透测试者在生产系统上运行,至少要进行异地备份,以便对服务器的任何更改都可以与备份进行比较。
如果需要测试整个网络,或者无法设置与生产系统行为相同的测试系统,这可能是不可能的。在这种情况下,您将需要信任他们。
然而,一般来说,合格的渗透测试者是值得信赖的。对他们来说,损害您的计算机并破坏他们在一个很难恢复的行业中的声誉是不值得的。您和渗透测试者都将签署一份合同,指定他们被允许做什么、哪些攻击在范围内等。这将允许您在他们越界的情况下证明不当行为(例如,如果他们进行压力测试您的生产服务器违背您的意愿并最终有效地拒绝服务)。
没有完美的解决方案,我认为您需要根据您的配置混合使用以下三种:
这可以是物理上和逻辑上的:具有类似技能的人在观察他们的所作所为。您还可以要求他们对他们所做的事情进行完整描述,并与您收集的监控他们的信息进行比较。
此外,您可以要求他们不要带入/带出任何东西(不要让他们带上自己的笔记本电脑/工具......)。相反,您可以提供具有高级日志的专用笔记本电脑。但这对于渗透测试者来说非常不方便,因为他们经常使用特定的工具。
使用类似的环境,但没有敏感数据,也没有连接到真实/生产环境。这可能看起来是最好的解决方案,但通常不可行,因为虚拟和生产不完全相同,因此结果将不相关。
您还可以将渗透测试范围限制在受控环境中,在渗透测试结束后您可以轻松回滚。
好吧,在某些时候,您可能需要对您雇用的人员进行一些信任。所以是的,使用铁定合同,您认识的人或您的公司已经与之合作的人......在某些国家,您对渗透测试有特殊许可。最后将渗透测试视为自己的风险。