15.1 創(chuàng)建安全評估和測試程序

• 信息安全團(tuán)隊維護(hù)活動的基石就是他們的安全評估和測試程序，用來定期合適機(jī)構(gòu)與重組的安全控制以及這些安全控制可以正常運(yùn)行以便有效的保護(hù)信息資產(chǎn)

15.1.1 安全測試

• 安全測試能夠驗證控制運(yùn)行正常：測試包括自動掃描、工具輔助滲透測試和手動測試，安全團(tuán)隊可設(shè)計和驗證一個綜合的評估測試策略
• 安全專家仔細(xì)審核測試結(jié)果，保證每個測試是成功的

15.1.2 安全評估

• 安全評估是對系統(tǒng)、應(yīng)用程序或其他測試環(huán)境的綜合評價
• 安全評估工具的主要產(chǎn)出物是一份用于管理的評估報告，報告以非技術(shù)的語音描述評估結(jié)果，并且以具體建議作為結(jié)論，從而提高被測環(huán)境的安全性

15.1.3 安全審計

• 安全審計會使用與安全評估期間相同的許多技術(shù)，但必須由獨(dú)立的審計員執(zhí)行
• 審計員對安全控制的狀態(tài)做出的評估應(yīng)公正、無偏見，他們編寫的報告與安全評估報告非常類似
• 內(nèi)部審計由組織的內(nèi)部審計人員執(zhí)行且通常也是為了內(nèi)部使用

15.2 執(zhí)行漏洞評估

• 漏洞評估是信息安全專家工具箱的重要測試工具，為安全專家找到系統(tǒng)或應(yīng)用在技術(shù)控制方面的弱點(diǎn)

15.2.1 漏洞掃描

• 漏洞掃描會自動對系統(tǒng)、應(yīng)用程序和網(wǎng)絡(luò)進(jìn)行探測，尋找可能被攻擊者利用的弱點(diǎn)
• 漏洞掃描分三種
  • 網(wǎng)絡(luò)發(fā)現(xiàn)掃描：使用多種技術(shù)對一系列IP地址進(jìn)行掃描，搜索配有開放網(wǎng)絡(luò)端口的系統(tǒng)，不能探測系統(tǒng)漏洞
    • TCP SYN掃描：向每個被掃描的端口發(fā)送帶有SYN標(biāo)志設(shè)置的單個數(shù)據(jù)包
    • TCP 連接掃描：向指定端口的遠(yuǎn)程系統(tǒng)打開一個全連接
    • TCP ACK掃描：發(fā)送帶有ACK標(biāo)志設(shè)置的單個數(shù)據(jù)包
    • Xmas 掃描：發(fā)送帶有FIN、PSH和URG標(biāo)志設(shè)置的數(shù)據(jù)包
  • 網(wǎng)絡(luò)漏洞掃描： 在檢測到開放端口后繼續(xù)調(diào)查目標(biāo)系統(tǒng)或網(wǎng)絡(luò)來查找已知漏洞，還能執(zhí)行一些測試，來確定系統(tǒng)是否已收到數(shù)據(jù)庫中的每個漏洞影響
  • WEB漏洞掃描：在WEB應(yīng)用程序中搜尋已知漏洞的專用工具

15.2.2 滲透測試

• 滲透測試：為了試圖讓安全控制失效，進(jìn)入目標(biāo)系統(tǒng)或應(yīng)用程序來展示缺陷
• 滲透測試分三種
  • 白盒測試：為攻擊者提供目標(biāo)系統(tǒng)的詳細(xì)情況，縮短了攻擊事件并增加了發(fā)現(xiàn)安全漏洞的可能性
  • 灰盒測試：部分知識測試
  • 黑盒測試：不為攻擊者提供任何信息，模擬外部攻擊者在進(jìn)行攻擊之前試圖獲取業(yè)務(wù)和技術(shù)環(huán)境信息的情況

15.3 測試你的軟件

• 軟件是系統(tǒng)安全的關(guān)鍵組成部分，仔細(xì)測試軟件對每一個現(xiàn)代組織的機(jī)密性、完整性和可用性都是至關(guān)重要的

15.3.1 代碼審查和測試

• 代碼審核和測試可能再缺陷生效并對經(jīng)營產(chǎn)生負(fù)面影響之前發(fā)現(xiàn)安全、性能或可靠性缺陷
  1、代碼審查：除了寫代碼的人以外的開發(fā)人員進(jìn)行審查、查找缺陷
  2、靜態(tài)測試：在不運(yùn)行軟件的情況下通過分析源代碼或編譯的 應(yīng)用程序?qū)浖M(jìn)行評估，通常用來檢測常用軟件缺陷（如緩沖區(qū)溢出）的自動化工具
  3、動態(tài)測試：在運(yùn)行環(huán)境中評估軟件安全，對部署別人寫的應(yīng)用程序的組織來說說通常是唯一選擇
  4、模糊測試：一項專門的動態(tài)測試技術(shù)，向軟件提供許多不同類型的輸入，來強(qiáng)調(diào)其局限性并發(fā)現(xiàn)先前未發(fā)現(xiàn)的缺陷
  • 變異模糊測試：從軟件的實(shí)際操作中提取之前的輸入值，對其進(jìn)行處理以創(chuàng)建模糊輸入
  • 智能模糊測試：開發(fā)數(shù)據(jù)模型并創(chuàng)建新的模糊輸入

15.3.2 接口測試

• 接口測試是開發(fā)復(fù)雜軟件系統(tǒng)的一個重要部分，接口測試針對接口規(guī)范的性能，以確保所有開發(fā)工作完成后模塊能正常運(yùn)行
  • 應(yīng)用編程接口（API）：為代碼模塊提供一種標(biāo)準(zhǔn)的方式進(jìn)行交互
  • 用戶界面（UI）:為終端用戶提供與軟件交互的能力，測試包括審查所有的用戶界面來驗證他們能否正常運(yùn)作
  • 物理接口：一些操作機(jī)器、邏輯控制器或物理世界中其他對象的應(yīng)用程序存在

15.3.3 誤用案例測試：

• 軟件測試人員使用稱為誤用測試案例或濫用用例測試的過程來評估他們的軟件對于那些已知風(fēng)險的脆弱性

15.3.4 測試覆蓋率分析

• 軟件測試專業(yè)人員經(jīng)常進(jìn)行測試覆蓋率分析，進(jìn)行估計對新軟件進(jìn)行測試的程度

15.4 實(shí)現(xiàn)安全管理過程

15.4.1 日志審核

• 信息安全管理人員應(yīng)該定期對日志進(jìn)行審查，特別是敏感功能，以確保特權(quán)用戶不濫用特例

15.4.2 賬戶管理

• 賬戶管理審核確保用戶只保留授權(quán)權(quán)限，而沒有發(fā)生未經(jīng)授權(quán)的修改

15.4.3 備份驗證

• 管理人員定期檢查備份的結(jié)果，確保過程有效執(zhí)行，滿足組織的數(shù)據(jù)保護(hù)需求

15.4.4 關(guān)鍵性能指標(biāo)和風(fēng)險指標(biāo)

• 安全管理人員應(yīng)該維持監(jiān)視關(guān)鍵性指標(biāo)和風(fēng)險指標(biāo)
  • 開放漏洞的數(shù)量
  • 解決漏洞的時間
  • 被盜賬戶的數(shù)量
  • 在生產(chǎn)前掃描中發(fā)現(xiàn)的軟件缺陷數(shù)
  • 重復(fù)審計發(fā)現(xiàn)
  • 訪問惡意網(wǎng)站的用戶嘗試