1. 知道為什么要測(cè)試

執(zhí)行滲透測(cè)試的目的是什么？是滿(mǎn)足審計(jì)要求？是你需要知道某個(gè)新應(yīng)用在現(xiàn)實(shí)世界中表現(xiàn)如何？你最近換了安全基礎(chǔ)設(shè)施中某個(gè)重要組件而需要知道它是否有效？或者滲透測(cè)試根本就是作為你定期檢查防御健康的一項(xiàng)例行公事？

當(dāng)你清楚做測(cè)試的原因時(shí)，你也就知曉自己想從測(cè)試中得到什么了，而這可以讓測(cè)試規(guī)劃工作更有效率。知道做測(cè)試的緣由可以讓人恰當(dāng)?shù)卮_立測(cè)試的范圍，確定測(cè)試結(jié)果將會(huì)揭露什么問(wèn)題。

或許這一步中最重要的一部分，是讓團(tuán)隊(duì)提前架設(shè)好準(zhǔn)備從測(cè)試結(jié)果中得出正確的結(jié)論的心理預(yù)期。如果測(cè)試是要審查IT基礎(chǔ)設(shè)施的某個(gè)特定方面(比如說(shuō)新的Web應(yīng)用)，那就沒(méi)必要著墨于公司整體安全。理解做測(cè)試的緣由可以讓你問(wèn)出正確的問(wèn)題，得到能被恰當(dāng)理解的結(jié)果。

2. 了解你的網(wǎng)絡(luò)

漏洞是安全的重點(diǎn)。企業(yè)網(wǎng)絡(luò)上線之日直至如今必然經(jīng)歷種種變遷，只要攻擊者比企業(yè)自己的IT員工更清楚其中存在的漏洞，企業(yè)網(wǎng)絡(luò)就對(duì)攻擊者門(mén)戶(hù)洞開(kāi)。

繪制公司網(wǎng)絡(luò)地圖的責(zé)任不落在滲透測(cè)試團(tuán)隊(duì)身上。如果滲透測(cè)試團(tuán)隊(duì)在做這項(xiàng)工作，就意味著你有可能錯(cuò)過(guò)他們的測(cè)試結(jié)果，因?yàn)槟闶盏降木W(wǎng)絡(luò)架構(gòu)消息都能把滲透測(cè)試結(jié)果淹沒(méi)。

一張更新的網(wǎng)絡(luò)地圖(包括邏輯方面和拓?fù)浞矫?應(yīng)成為滲透測(cè)試的強(qiáng)制性前提條件。如果滲透測(cè)試員在告訴你你所不知道的網(wǎng)絡(luò)架構(gòu)情況，那你就是在為網(wǎng)絡(luò)地圖買(mǎi)單——很貴的那種。

3. 設(shè)置范圍

紅隊(duì)探測(cè)范圍有多廣，很大程度上取決于你為什么要做這個(gè)測(cè)試，因?yàn)樘珡V或太窄可能都無(wú)甚大用。

測(cè)試范圍過(guò)窄的問(wèn)題很明顯：如果想要找出的問(wèn)題在測(cè)試范圍外，那就沒(méi)有任何數(shù)據(jù)能幫助確定該組件的安全。所以，必須確保測(cè)試參數(shù)包含事關(guān)公司當(dāng)前安全狀態(tài)的重要組件。最重要的是，你得確定自己要測(cè)試的是整體安全狀況還是某特定系統(tǒng)的安全狀態(tài)，以及人為因素(對(duì)網(wǎng)絡(luò)釣魚(yú)和其他社會(huì)工程攻擊的敏感性)需不需要被包含進(jìn)去。

如果測(cè)試范圍過(guò)寬，有可能出現(xiàn)兩個(gè)問(wèn)題。第一個(gè)問(wèn)題是經(jīng)濟(jì)上的：測(cè)試費(fèi)用會(huì)隨范圍的擴(kuò)大而增加，而測(cè)試價(jià)格與所需信息不相匹配的狀況又會(huì)影響到公司高層對(duì)未來(lái)測(cè)試的熱情。

第二個(gè)問(wèn)題就更為致命了。測(cè)試范圍過(guò)大時(shí)，測(cè)試本身容易返回太多信息，真正所需的數(shù)據(jù)很容易被淹沒(méi)在巨量的測(cè)試結(jié)果中。教訓(xùn)很清楚：想要測(cè)試架構(gòu)中特定部分的安全，就將滲透測(cè)試的范圍限定在那個(gè)部分上。對(duì)整個(gè)系統(tǒng)的測(cè)試可以留待下次進(jìn)行。

4. 做好計(jì)劃

弄清測(cè)試目的并確定出測(cè)試范圍后，就可以開(kāi)始制定測(cè)試計(jì)劃了。定出詳細(xì)明確的測(cè)試條件和需求最為重要，任何松散或須經(jīng)解釋的測(cè)試要求都會(huì)削減滲透測(cè)試的效率。需做好詳盡計(jì)劃的原因有很多，其中最主要的原因與成本控制和提升測(cè)試結(jié)果可用性有關(guān)。

良好的測(cè)試計(jì)劃應(yīng)分為多個(gè)部分。一個(gè)部分幫助委托公司鞏固其測(cè)試方案的要求。一個(gè)部分確認(rèn)測(cè)試返回?cái)?shù)據(jù)的類(lèi)型。還要有一部分內(nèi)容為向公司執(zhí)行委員會(huì)解釋測(cè)試開(kāi)銷(xiāo)做準(zhǔn)備。

測(cè)試計(jì)劃不是制定好后就固定不變的，測(cè)試過(guò)程中可能需作出修訂。測(cè)試團(tuán)隊(duì)被聘用后，他們可能會(huì)針對(duì)某些測(cè)試元素提出一些能產(chǎn)生更好結(jié)果的建議。其中關(guān)鍵就在于，公司內(nèi)部就該測(cè)試計(jì)劃達(dá)成一致后 ，安全團(tuán)隊(duì)就能判斷滲透測(cè)試員的建議是否能滿(mǎn)足測(cè)試需求了，不用什么都依靠測(cè)試團(tuán)隊(duì)的力量。

5. 雇正確的團(tuán)隊(duì)

提供滲透測(cè)試服務(wù)的公司和顧問(wèn)很多。這些公司都有各自的優(yōu)勢(shì)和弱點(diǎn)，他們的技術(shù)技巧各有千秋，呈現(xiàn)測(cè)試結(jié)果的方式也有好有壞。公司有必要確保所選測(cè)試團(tuán)隊(duì)的能力盡可能地符合測(cè)試需要。

要注意的是，測(cè)試需求應(yīng)高于客戶(hù)要求。確實(shí)，有些團(tuán)隊(duì)在導(dǎo)引征求建議書(shū)(RFP)過(guò)程或擠進(jìn)獲批供應(yīng)商列表上頗有心得，但他們執(zhí)行測(cè)試計(jì)劃所需滲透測(cè)試動(dòng)作的技術(shù)未必比得上這些在應(yīng)付客戶(hù)上的技巧。選擇滲透測(cè)試團(tuán)隊(duì)時(shí)應(yīng)將測(cè)試技術(shù)放在第一位，會(huì)計(jì)和行政管理方面的能力次之。

可以考察測(cè)試團(tuán)隊(duì)的老辣程度，看他們?nèi)绾卧诓煌品?jì)劃的條件下提出建議，改進(jìn)客戶(hù)的測(cè)試計(jì)劃。這也是為什么前期要做好測(cè)試計(jì)劃的一個(gè)重要原因。因?yàn)榭梢詸z查測(cè)試過(guò)程中的種種改動(dòng)。

6. 不要干預(yù)

人都想得到別人的認(rèn)同，這是人類(lèi)天性。但滲透測(cè)試的目的就是要展現(xiàn)出公司企業(yè)安全狀態(tài)的實(shí)際情況，所以，盡量別為了得到個(gè)看起來(lái)好看的結(jié)果而人為干擾滲透測(cè)試員，給防御方提供不公平的優(yōu)勢(shì)。

事實(shí)上，紅隊(duì)幾乎總能某種程度上滲透進(jìn)公司網(wǎng)絡(luò)邊界。我們當(dāng)前的技術(shù)和操作就是這樣的。很多情況下，真正的問(wèn)題存在于藍(lán)隊(duì)到底什么時(shí)候才能發(fā)現(xiàn)已被攻破，會(huì)如何響應(yīng)。

無(wú)論測(cè)試結(jié)果如何，都要讓測(cè)試過(guò)程正常進(jìn)行，以便結(jié)果真實(shí)、準(zhǔn)確、有用。管理層的任何干預(yù)都會(huì)毀了滲透測(cè)試的有效性，請(qǐng)一定記得在測(cè)試完成前不要插手。

7. 注意結(jié)果

測(cè)試完成后，你會(huì)得到一份完整的報(bào)告，需仔細(xì)研讀。滲透測(cè)試員應(yīng)向你呈現(xiàn)出測(cè)試的結(jié)果，如果你有機(jī)會(huì)根據(jù)測(cè)試結(jié)果改進(jìn)安全系統(tǒng)，別放過(guò)這種機(jī)會(huì)。

或許滲透測(cè)試是為了滿(mǎn)足監(jiān)管合規(guī)要求而做的。也有可能你就沒(méi)想找任何理由來(lái)改變你的安全防御。這都沒(méi)關(guān)系。你的安全防御如今已遭遇過(guò)敵軍主力，而你可以看清安全計(jì)劃的成功之處與失敗的地方。

如果測(cè)試結(jié)果被用于做出有意義的改變，滲透測(cè)試就是劃算的。而劃算的滲透測(cè)試也更有可能在未來(lái)獲得公司高層的安全預(yù)算。

8. 溝通結(jié)果

對(duì)大多數(shù)公司來(lái)說(shuō)，滲透測(cè)試的結(jié)果不局限在安全團(tuán)隊(duì)范圍內(nèi)。至少，對(duì)整個(gè)IT部門(mén)都有影響，而很多情況下還有高管們需要看到的信息。

很多安全人員都覺(jué)得，向非安全專(zhuān)業(yè)的經(jīng)理傳達(dá)滲透測(cè)試結(jié)果是過(guò)程中最難的部分。不僅需要說(shuō)明都做了什么，為什么要這么做，還要用他們能聽(tīng)懂的語(yǔ)言解釋需要作出什么改動(dòng)。這往往意味著要用商業(yè)術(shù)語(yǔ)溝通，而不是以技術(shù)語(yǔ)言闡述。

正如滲透測(cè)試可被視為真實(shí)攻擊的預(yù)演，將其他部門(mén)的同事納入結(jié)果闡述和操作展示的受眾范圍，也有助于確保被接收的信息確實(shí)是你想要傳達(dá)的。

對(duì)很多業(yè)務(wù)經(jīng)理而言，網(wǎng)絡(luò)安全是個(gè)令人望而生畏的高難度領(lǐng)域；盡量別用過(guò)多的行話讓業(yè)務(wù)經(jīng)理們?cè)谧簧弦活^霧水坐臥不寧。

既然都已經(jīng)花大力氣做了計(jì)劃并執(zhí)行了切實(shí)的滲透測(cè)試，那就努力讓測(cè)試結(jié)果對(duì)整個(gè)公司有用吧。