取消
显示结果 
搜索替代 
您的意思是: 
cancel
3410
查看次数
0
有帮助
2
评论
julianchen
Spotlight
Spotlight

朋友们,别以为哥只懂得眼前的技术哦。偶尔我也会去陶冶一下自己的修养,追求一下画和远方。我自知画工不行,就挑了最无法界定水平的那种 -- 油画。很有意思的,画得不好,用底色全部涂掉,重新作画,要不您也试试?你们猜我这是第几次“刷底漆”了?;P
下面才是本次分享的正文:
朋友们,上一期我们是从完全模拟陌生攻击者的角度来进行的“黑盒”盲测;而大家平时工作中与审计人员所接触到比较多的应该是“灰盒”测试。那么为了保持本漫谈的完整性,哥对这种“灰帽子”的渗透测试也和大家聊聊吧。借用我当年高中老师们的那句口头禅:“来,我们直接看重点!”

其中准确性上容易失真的当属“社会工程学与安全意识”测试了。由于可能事先走漏风声、或是采集的“样本”不够丰富、亦或测试的时间不够充沛,都可能产生企业员工安全意识强的假象。所以说技术只能帮你发现客观存在的漏洞,意识则可以决定漏洞如何被利用。就算企业通过了此环节的测试,也只是一个短暂平衡态,或根本就是一个“幸存者偏差”。因此相关培训和B轮、C轮测试必须成为一种常态。
最近很流行“下半场”的说法,那么廉哥接下来就继续跟大家来聊渗透测试的下半场—测试报告吧。经过了前面模拟攻击者的行为测试,我们安全人员需要最终整理出一份测试报告。就像那个经典的说法:“人们想买的不是一个钻孔机,而是想在墙上打一个孔”一样,请记住:我们报告不能写得太文艺、也不能写得过于学术化,毕竟它只是一个说明企业安全态势的工具。下面具体我们来看看每个章节应该注意些什么吧。
报告对象
记得犹太文化里有个谚语就说过:世界上最难的有两件事:一是把别人口袋里的钱拿到自己的口袋里,二是把自己脑袋里的东西塞到别人的脑袋里。这说明达到思想上的认同绝非易事。如果您不知道该报告的受众和其关注点,那么从报告人自身的角度定义一个报告的脉络or结构是非常重要的。这样才会让读者有“带入感”并随之产生共鸣。
当然,根据我的经验,至少有两种类型的人会阅读我们的测试报告:管理层和IT技术人员。而实际上管理层是不愿通篇阅读当然也是读不懂测试报告的。他们只想通过目测漏洞列表条目的数量和测试结论,来快速获悉“我们现在到底安不安全?”而IT技术人员则对会各条漏洞分析尤为重视。他们时常怀揣着一颗“既觊觎系统在测试后并无重大漏洞;又希望漏洞程度与整改建议能全面且合理”的待嫁之心。所以我们要花时间搞清楚要报告的对象,并设身处地的从他们的角度来换位思考,做到言之有物、言之凿凿。能够实现“老总看了会沉默,IT看了会流泪”那就厉害了。
封面
对没看错,我们从封面讲起,要注意什么呢?要标明整个报告的“等级标识”和“测试日期”这两个重要元素。
目录
记得小时候读书的时候,语文老师就教育我们:“拿到一本新书的时候要先看目录,以后长大了去图书馆查找书籍也要如此。”同理,目录可以让阅读此报告的人对报告的整体架构有个宏观的认识,也可以快速跳跃的到其感兴趣的章节和部分。
内容摘要
怎么听上去有写论文的赶脚?对,只不过不同的是:一般论文在这里尽量体现其通篇最有技术含量的元素,以便更为方便的被检索到。但咱们的报告摘要,则应该尽量避免使用专业术语。因为真正会阅读这部分的管理层金主(非技术类管理人员)可要比技术大牛可多得多哦。当然该部分也可以方便被直接摘录到PPT里,进而在会议上分析与传阅。其实全称应该叫做执行摘要(Executive Summary),也就是汇总性的告知测试了什么、发现了什么、而且是由于什么所导致的。然后就是所发现的漏洞的一个从高到底列表。当然,这里有个小贴士给大家:虽然测试报告命中注定是汇报IT系统和人员的“缺点”,但如果能在摘要中列举出抗攻击成功和安全措施到位的地方,则会在体现测试的客观性和全面性的同时,也能给报告对象带有些许安慰或成就感。毕竟谁都不想看到自己的系统和员工是那么的一无是处。而在执行摘要的最后应该是一个结论,即明确指出是该系统是安全还是不安全。
上述这些都是报告开篇的重要部分,应当能够脉络清晰的呈现在一页A4纸上,让“读者”一目了然的知道接下来要做什么。
朋友们,我去“刷油漆”了,下次接着聊!
评论
one-time
Level 13
Level 13
谢谢分享~想知道照片里是作者本人吗?
julianchen
Spotlight
Spotlight
管理员 发表于 2017-8-18 13:02
谢谢分享~想知道照片里是作者本人吗?

你猜就是啦;P
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接