渗透测试员解密企业系统评估

日期: 2009-01-11 作者:Dennis Fisher翻译:Tina Guo 来源:TechTarget中国 英文

Chris Nickerson是你最怕的噩梦,你看不到他的进入,他可以潜入你的数据中心。在他选择的任何服务器上安装恶意软件,并在不对安全产生影响的情况下从容退出。 Nickerson是Lares Consulting的CEO,他在TechTarget的这次采访中谈到了渗透测试的乐趣和外包的风险。

  TechTarget:有人付钱请你入侵到公司的建筑和网络中。为什么需要这种等级的评估?

  Chris Nickerson:原因是,在有我的安全项目的我工作过的每个地方,最大的问题就是取得正确渗透测试的基金。我发现你表示和证明的你可以做得越多,你在人造造成的心理影响就越大。当我在他们面前拿到了他们密码,并且证明我可以在夜里两点进入他们的数据中心。当在他们的安全快照中什么也没有的时候,它就起作用了。这个很有用,而且已经在政府部门使用了一百多年了。对于安全人员来说,他们要说他们已经准备好战斗了。那么好,证明一下吧。

  TechTarget:海外各国写了这么多的代码,如果公司没有对使用的人足够的注意,那么商业间谍的危险会有多大?

  Nickerson:这一点儿非常现实。这些公司在很多地方花了了很多钱。在软件行业这是个大问题。我认识一些人,而且我自己也曾经作过事故响应,在这里你会发现,正是守门人窃取了源代码。这种情况越来越糟。有些资金雄厚的公司雇用黑客团队进入他们对手的公司,并且取下一季度的设计稿。看看社会诱捕行动这样的事情吧。紧跟在后面的人们可以帮助桌面工程师,建立管理,然后开始向他们支付没有信息的费用。然后他们就依靠这些钱,很快我就可以让他们为他们没想过的事情付钱。我就以你的公司为基地,然后把你付款要我保护的信息出售一百次。这是很漂亮的黑客的方式。我们把这种商业间谍作为美国公司中的严重威胁,而这些公司都会把他们的研究开发(R&D)向其他国家外包,然后再回到本国进行产品分类。

  TechTarget:平常的公司如果防御商业间谍呢?

  Nickerso:他们需要少发些牢骚,少猜测。我在Sprint运行了一个项目,但是却很不安全。我们做了社会工程培训项目,想要把一些人们常用的诡计教给用户。在一个星期后,我们打了电话,对他们进行了社会工程测试。成功率很低。这很不安全。他们所知道的唯一的事情是了解了测试有多糟糕。

  TechTarget:你所看到的企业的信息安全项目中最大的错误是什么?

  Nickerson:了解业务是我认为的最正常的,但是我的大部分客户都被我的观点震惊了。全面检查并决定什么是最重要的需要保留的,并把信息安全项目建立在这些之外是最关键的,而不仅仅是遵守法规。你可能遵守了法规,但是如果你的系统受到了工具,你就会被辞退,而没有薪水。人们会在法规和安全的方面犯错误。

  TechTarget:你见过有些公司把重点放在了法规上,而没有作足安全?

  Nickerson:是的。我曾经为一家遭受过数据泄露攻击的公司的母公司做过评估,我向他们展示了漏洞,他们说:“这不是法规的要求,我们不在乎。”这是敞开数据中心的大门,而他们所说的只是“法规、法规”。我喜欢向人们表示我可以接近公司的关键资源,不管多近。我喜欢告诉客户任何东西都可以通过Windows控制。你不认为这是问题吗?好吧,我可以对你的硬盘加密而不告诉你密钥。你就完了!

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

Tina Guo
Tina Guo

相关推荐