文件记录11.3. 评估的正式化
准备好 Kali 环境并定义评估类型后,您几乎可以开始工作了。 您的最后一步是将要完成的工作正式化。 这非常重要,因为它定义了对工作的期望,并授予您进行可能是非法活动的许可。 我们将在较高级别对此进行介绍,但这是一个非常复杂且重要的步骤,因此您可能需要咨询贵组织的法律代表以获得帮助。
作为正式化过程的一部分,您需要定义工作的参与规则。 这包括以下项目:
• 您可以与哪些系统交互? 确保您不会意外干扰对业务运营至关重要的任何事情,这一点很重要。
• 一天中的什么时间和什么攻击窗口允许进行评估? 一些组织喜欢限制可以进行评估工作的时间。
• 当您发现潜在漏洞时,您是否允许利用它? 如果没有,审批流程是什么? 有些组织对每次利用尝试采取非常可控的方法,而其他组织则希望采用更现实的方法。 最好在工作开始前明确定义这些期望。
• 如果发现重大问题,应如何处理? 有时,组织希望立即得到通知,否则通常会在评估结束时解决。
• 在紧急情况下,您应该联系谁? 当出现任何类型的问题时,知道与谁联系总是很重要的。
• 谁会知道该活动? 它将如何传达给他们? 在某些情况下,组织希望将其事件响应和检测性能作为评估的一部分进行测试。 事先了解这一点总是一个好主意,这样您就知道是否应该在评估方法中采取任何程度的隐秘措施。
26http://tools.kali.org/category/web-applications 27http://tools.kali.org/category/reverse-engineering 28http://tools.kali.org
• 评估结束时的期望是什么? 结果将如何传达? 了解各方在评估结束时的期望。 定义可交付成果是在工作完成后让每个人都开心的最佳方式。
虽然不完整,但此清单可让您了解应涵盖的详细信息。 但是,您应该意识到,良好的法律代表是无可替代的。 一旦定义了这些项目,您就需要获得适当的授权来执行评估,因为如果没有有权授予该许可的人的适当授权,您在评估过程中所做的大部分活动可能是不合法的。
有了所有这些,在开始工作之前您还需要执行最后一步:验证。 永远不要相信提供给您的范围——始终对其进行验证。 使用多个信息源来确认范围内的系统实际上归客户所有,并且它们也由客户操作。 随着云服务的普及,组织可能会忘记他们实际上并不拥有提供服务的系统。 您可能会发现在开始工作之前必须获得云服务提供商的特别许可。 此外,始终验证 IP 地址块。 不要指望组织假设他们拥有整个 IP 块,即使他们将其作为可行的目标签署。 例如,我们已经看到一些组织要求对整个 C 类网络范围进行评估,而实际上他们只拥有这些地址的一个子集。 通过攻击整个 C 类地址空间,我们最终会攻击组织的网络邻居。 这 开源情报分析 的子类别 信息收集 菜单包含许多可以帮助您完成此验证过程的工具。