课件分享：D6-3管理控制措施的评估与测试＃CISSP认证学习

每天叫醒你的不是闹钟，而是学习

01

管理控制通常主要是通过策略或流程来实施的控制，因此我们需要对这些控制措施进行测试。接下来，我们将介绍测试管理控制的一些关键方法。

帐户管理相关测试。攻击者的一种首选技巧是尽快成为他们攻击系统的“正常”特权用户。他们可以通过至少三种方式来完成此操作：盗用现有特权帐户，创建新的特权帐户，或是提升常规用户帐号的权限。第一种方法可以通过使用强认证（例如：强密码或更好的双因素认证）以及通过让管理员仅在特定任务时使用特权帐户的方法予以消减。可以通过密切注意用户帐号的创建、修改或误用来消减第二和第三种方法。这些控制都属于帐户管理的类别。

测试所有员工都是否知道可接受使用策略（Acceptable Use Policy，AUP）和其他适用的政策是审核用户帐号的第一步。因为每个用户都应该有一个签名过的AUP，例如：我们所需要的是获得组织中所有用户的列表，然后将其与含有签名文档的文件进行比较。在许多情况下，新员工签名过的所有文件由人力资源（HR）所保存，而计算机帐户则由IT所维护。交叉检查AUP和用户帐号还可以验证这两个部门是否进行着有效的沟通。

添加、删除或修改权限应该有一套被精确控制和记录的过程。新的权限何时生效？他们为什么需要？谁授权的更改？那些具有成熟安全过程的组织会有适当的变更控制过程，以处理用户的特权。虽然许多审计人员将注意力集中为在组织中谁具有管理权限，但还是有许多自定义的权限集已经达到了管理员帐户的级别。因此，重要的是要有可用来测试那些定制的高级权限的过程。

测试对于已暂停帐户的管理控制，可以遵循前两个部分中已经阐述过的相同模式：查看每个帐户（或获取所有帐户的代表性示例），并根据我们人力资源的记录将这些与其所有者的状态进行比较。或者，我们可以获取一个临时或永久离开组织的员工名单，并检查这些帐户的状态。严格按照数据保留策略去删除帐户是非常重要的。当然管理员过早的删除用户帐号和/或文件，对已离职员工的许多调查也会造成阻碍。

02

无论采用何种组织数据的备份方法，我们都需要定期测试，以确保备份在我们需要时能按照其预定的方式运行。一些遭受过事故或灾难的组织会被要求从备份中恢复一些或所有的数据，以提前发现备份的丢失、损坏或过期。本节将讨论一些用来评估数据是否能在我们需要时保持可用的方法。

备份涉及的数据类型包括用户数据文件、数据库、邮箱数据

测试数据备份的过程包括：

1. 开发各种场景，以捕获那些代表着组织所面临的威胁的特定事件集。

2. 制定计划，测试每个场景中的所有关键任务的数据备份。

3. 利用自动化，以最小化审计师所需的工作量，并确保定期进行测试。

4. 最小化，数据备份测试计划对业务流程的影响，以便其可以被定期执行。

5. 确保覆盖面，以便测试到每个系统，虽然那不一定会是在同一测试中。

6. 记录各种结果，以便你能知晓什么是有效的，而什么是需要加强的。

7. 修复或改进你记录到的任何问题。

03

透测试是指根据所有者(例如高级管理层)的要求模拟攻击一个网络及其系统的过程。渗透测试应用一组专门进行测试及可能绕过系统安全控制的程序和工具，它的目的是评估组织机构抵御某种攻击的能力，以及暴露环境中存在的任何弱点。

渗透测试的结果应以报告的形式提交给管理层，其中应说明被标识的脆弱性和这些脆弱性的严重程度，并就如何处理这些脆弱性给出合理的建议。安全专业人员应获得包含授权测试范围的授权书。在测试活动中，测试团队成员需要使用这份授权书或备忘录。

脆弱性测试与渗透测试有什么区别呢？

脆弱性评估可以标识系统内的一系列脆弱性，这种评估通常采用一个扫描工具来完成。与之相反，在渗透测试中，安全专业人员利用了一个或几个脆弱性，从而向客户(或你的上司)证明黑客确实能够访问公司的资源。

经常被攻击者利用的脆弱性包括：

内核缺陷：这些问题在后台出现，深入到操作系统内。内核中的任何缺陷都可能被攻击者发现，如果可被利用，那么攻击者就能够最大限度地控制系统。确保为环境中的操作系统及时安装安全补丁(经过充分测试后)，尽可能减少出现脆弱性的可能性。

缓冲区溢出：糟糕的编程实践或者库中偶尔出现的bug都可以使输入超出程序被分配空间的存储限额。这会重写分配到缓冲区之后的数据或程序内存，有时允许攻击者注入程序代码，然后让处理器执行。这样，攻击者就拥有了与被攻击程序相同的访问权限。

如果程序以管理用户身份或由系统本身运行，那么就可能意味着攻击者能够访问整个系统。良好的编程实践和开发人员教育、自动化的源代码扫描器、改良的编程库以及防止缓冲区溢出的强类型语言，这些都是避免这种极为常见的脆弱性的方法。

符号链接：虽然攻击者无法查看或修改敏感系统文件和数据的内容，但是如果一个程序访问一个符号链接(一个将访问重定向至其他位置的存根文件)，那么攻击者就可以入侵这个符号链接，从而获得未授权访问(符号链接主要用在Unix和Linux系统中)。这样，攻击者就可以破坏重要的数据或获得系统的特权访问级别。在过去，攻击者曾利用符号链接使一个程序检测口令数据库，或者使用一些字符替换口令数据库中的一行数据，从而创建一个权限与根用户相当的、不需要口令的账户。必须编写程序和特定的脚本，确保无法绕开文件的完整路径。

文件描述符攻击文件描述符是许多操作系统用于表示某个进程中的开放文件的编号。某些文件描述符是通用的，在所有程序中都是指相同的文件。如果程序以不安全的方式使用文件描述符，那么攻击者就能够向程序提供无法预料的输入，或者将输出转移到一个具有执行程序权限的、意想不到的位置。良好的编程实践和开发人员教育、自动化的源代码扫描器以及应用程序安全测试都可以减少这种脆弱性。

竞态条件如果一个程序的设计方式使它处于某种易受攻击的条件，而后再设法减少那些易受攻击的条件，那么就会出现竞态条件。竞态条件的示例包括：打开临时文件，而没有首先确保未授权用户或进程无法读取或写入这些文件；在特权模式下运行或初始化动态负载库功能，而没有首先确认动态负载库路径是否安全。攻击者可以利用这些竞态条件让程序(使用它得到提升的权限)读取或写入无法预料的数据，或者执行未授权的命令。良好的编程实践和开发人员教育、自动化的源代码扫描器以及应用程序安全测试都可以减少这种脆弱性。

文件和目录许可前面描述的许多攻击主要利用的是不适当的文件或目录权限，也就是说，系统某部分(一个更加安全的系统部件依赖于它)的访问控制中的一个错误。而且，如果系统管理员犯下错误，导致某个关键文件的权限的安全性降低(如允许常规用户访问口令数据库)，那么攻击者就可以利用这个错误将一名未授权用户添加到口令数据库中，或者将一个不可信的目录添加到动态负载库的搜索路径中。文件完整性检查器(它还应检查预期的文件和目录权限)可以及时甚至有望在攻击者注意并利用它们之前检测出这类问题。

漏洞测试和渗透测试有着至少三种：黑盒测试、白盒测试和灰盒测试。

黑盒测试将被测试的系统视为完全的不透明。这意味着测试人员没有对于系统内部设计或特征的先决知识。所有知识只能通过评估本身才能传给测试人员。这种方法最好地模拟了外部攻击者，并且可以产生对信息泄露的洞察，从而可以给对手提供更好的攻击途径的信息。黑盒测试的缺点是：它可能不会覆盖所有的内部控制，因为其中的一些在审计过程中不太可能会被发现。还有另一个问题就是：在没有系统内部知识的情况下，测试团队可能会忽略对于子系统至关重要的各种日常操作。

白盒测试在执行第一次扫描之前，审计师已经完全了解系统的内部工作原理。这种方法允许测试团队锁定特定的内部控制和功能，并且产生对于系统更完整的评估。其缺点是：尽管它可能对内部威胁有着更准确的描述，但是白盒测试可能无法代表外部攻击者的行为。

灰盒测试介于其他两种方法之间的某处。内部工作信息有一部分而不是全部被提供给测试团队。这有助于将他们引导到我们想要彻底测试的领域，同时也在一定程度上能发现系统其他功能方面实际发生的情况。这种方法减少了白盒和黑盒测试中的各种问题。

-END-