以后我一定要争取两个安全评估,对不对?

想象你是一个全国金融机构总监和您最近部署一套先进的网上交易服务顾客. 使贵公司的网络周边安全,你签两个外部安全评估和渗透测试. 当最后报告开播,贵公司得到了证明. 起初,大家松了一口气,并深信在您的安全措施. 此后不久,你救济转向关注. "难道我们完全可靠"? 由于你的怀疑,你决定从更具民意. 当天的渗透测试报告交付已经来临. 基于上次评估,你期望获得积极的信息::无非. 结果不到愉悦.

此次渗透测试,也有几个有趣的结果,但是我们要集中一个连锁风力将负责人进行网上保安系统. 尤其如果你是在钱的生意.

一般人所熟悉的"钓鱼". 钓鱼一词界定为"实践机心引诱网民对假网站利用地道瞻电子邮件与真实组织的徽号企图窃取密码,或者个人财务 信息,或引入病毒破坏;建立一个网站,为掩人耳目机心复制网民屈从或个人财务信息或密码" (dictionary.com). 虽然垃圾邮件/邀约的电子邮件和直接WEB服务妥协是最常见的方法钓鱼. 有其他方法可以做到这一点的欺诈行为.

因特网路由器妥协使不良一天
在这种情况下,利用互联网路由器外泄知名思科脆弱. 一旦完成,天空极限至于如何影响该组织. 尽管该公司的网络服务器是安全的,这是保护和防火墙被配置WEB服务充分怎样使这些防御系统发 生在下无关. 不是重复登录网站成立于外部系统然后寄出邮件为了招徕顾客放弃登入,密码,而帐号,另一种办法,采取更恶毒 的办法.

钓鱼为个人或财务资料
你记得路由器是妥协? 为证明宗旨观念、路由器的配置将全部被变造的合法互联网通往Web服务、另凡WEB服务登入,密码,可以收 集到的资料. 首次进入这个消息,客户可以得到暧昧误差. 第二次装货页,假冒WEB服务顾客真正转到工地. 当用户重新进入相关资料,一切工作就好了. 没有人,没有顾客,也不知道该公司有任何一件绪犹酣. 哨声响起钟声还是没有,没有人质疑误差. 为什么会,他们可以把密码错误,这是一个典型的错误,或可能对一个网页,大家不时处理. 此时,你可以让你的想象力接管. 攻击者可能不往前走,立刻使用这些资料. 它可以用它之前几天或几周. 半点究竟发生搜集资料,很可能历史.

您真的走出安全评估
我无法告诉你有多少次,我已经颁发的安全评估报告,从输出数据不相上下现成或开放源自动安全分 析器. 虽然一个攻击者可能利用相同或类似工具攻击期间,他们并不仅仅依靠这些信息来达到他们的目标. 有效穿透试验或安全评估必须由有些认识不仅"安全弱点",怎样办现成工具. 执行评估的人一定要这样做手持工具和经验,符合或超过了这些潜在攻击者会.

结论
不论你是一个中小型、大型公司你一定要小心你决定谁是最有资格进行审查贵公司的安全防御系统, 或保安概况. 因为一个组织与呈献国书,如顾问与意念cissp它不代表任何人,这些现实世界的经验. 在世界上所有的认证结果不能告诉你,你得到从事安全评估分析透彻/完成. 获得第二个意见是什么,可给予适当威胁.如果你没有感觉良好,你知道是错的,你刚刚解决的一个医生的看法吗 ?

坦白说,我从来没有见过黑客(我知道我会用这个词都没,我总是这样),有证明文件,证明他们知道自己在做什 么. 他们知道自己在做什么,因为他们已经做了,一遍又一遍,有一个完整的理解和网络系统及软件. 除此之外,他们的一件事,没有阶级或认证可以教你是想象力.


作者简介
米勒是在Darren信息安全顾问拥有超过16年的经验. 他写过许多科技及安全的物品,其中一些已在国内杂志及报刊分发. 如果你想你可以在Darren联络电子邮件@paralogic.netdarren.mil ler他. 如果你想了解更多有关电脑保安请到我们http://www.defendingthenet.com.

http://www.1securepc.com/chinese.php...rity/35510.php