渗透测试是IT安全厂商的安全漏洞管理项目中最重要的一环。不过，Fortify公司联合创始人Brian Chess在数年前就已经宣称这一技术已经不再有用。

　　由于Fortify在开发层面寻找代码漏洞方面树立了权威，因此Chess的想法并没有被太多的人们质疑。目前Fortify已经被惠普收购。自从Chess的文章发表后，许多IT安全领域从业者发现，目前的事实是渗透测试可能还是有用处的。虽然具有更高的安全性的代码无疑将让互联网成为一个更为安全的地方，但是它们总是存在着没有被发现的漏洞。IT安全公司认为最大的漏洞来自在网络中被错误配置的设备。在这种情况下，即使软件自身没有漏洞，这种漏洞也会被居心不良的人所利用，为他们的攻击敞开大门。

　　由于渗透测试依然是安全领域中一个重要的工具。因此对于安全领域内的新手来说，理解网络压力测试的基础知识非常重要。

　　在上个月的“SANS波士顿2010”培训课程中，SANS学院总裁Stephen Northcutt在题为“SANS Security Leadership Essentials for Managers with Knowledge Compression”的课程中讲授了这些基础知识。

　　这是关于安全漏洞管理的三部分系列文章的第三部分。在第一部分中，我们探讨了怎样做好安全漏洞管理;在第二部分中，我们着重探讨了怎样选择扫描工具。

　　渗透测试出发点

　　Northcutt让他的学生从以下考虑出发：

　　· 渗透测试被用于测试网络或设备的安全性。

　　· 在漏洞扫描和修补之后进行渗透测试更为经济。

　　· 渗透测试者发现最为常见的问题是拒绝服务。渗透测试团队常常会失去自制力，对系统进行过度攻击。因此：

　　· 渗透测试规则必须被明确。

　　他指出在人力和时间上，渗透测试代价比较昂贵，因此对于这种非常规方法的运用必须要更为理智，不要对那些显而易见的漏洞进行渗透测试。

　　Northcutt 称：“让技术极为高超的团队去寻找那些显而易见的漏洞没有任何意义。首先，使用漏洞扫描仪并修补这些问题。然后再考虑使用诸如Core Impact或Canvas Immunisec等漏洞检测工具检测这些问题。”

　　他称在做完上述这些步骤后，才应当使用渗透测试团队。

　　他指出，渗透测试被用于测试网络或安全措施的外围安全。需要在许多方面进行测试：建筑物、服务器或网络的外围安全必须进行定期测试。要是被居心不良有人发现这些漏洞，那么他们将给你带来灾难性后果。

　　渗透测试技术

　　渗透测试者可以使用许多测试工具。在关于渗透测试的探讨中，Northcutt为他的学生列出了一个列表：

　　· 战争拨号器：为了获得系统的访问权，他们会利用计算机拨上千个号码。

　　· 战争驾驶：带来着笔记本电脑在邻居周围扫描，以试图找到一个可以接入的Wi-Fi。

　　· 嗅探：数据包嗅探通过阅读数据包来盗用有效的TCP/IP地址。恶意代码伪装成受信任网络地址，然后侵入网络。

　　· 社交工程：这是我们所介绍的最古老的一种技术。攻击者通过设置骗局让用户做一些他们不应当做的事情，如点击恶意链接。

　　· 垃圾搜寻：从字面上理解，这种技术就是在垃圾中寻找敏感数据。

　　· 窃听：这也是一种古老的技术。这种技术主要是对用户的电话线进行搭线窃听，或是在办公室里秘密安装记录设备。

　　· 辐射监测：Northcutt称，这种技术很复杂，但是它们却能够有效的从没有安全防护的设备中获取图像、数据或音频。辐射信号监测设备很小，足以隐藏在一辆汽车中。使用这种技术的人只要将汽车停在你的办公室的窗户外，他们就能够还原你在电脑显示器上所浏览过的所有的信息。

　　· 物理安全评估：他们会测试所有的锁，以评估非授权人进入禁区的难易程度。