文件记录11.2.2. 一致性渗透测试
按复杂程度排序的下一种评估是基于合规性的渗透测试。 这些是最常见的渗透测试,因为它们是基于整个组织运营的合规框架的政府和行业强制要求。
虽然有许多特定于行业的合规框架,但最常见的可能是支付卡行业数据安全标准16 (PCI DSS),这是一个由支付卡公司规定的框架,处理基于卡的支付的零售商必须遵守该框架。 但是,还有许多其他标准,例如国防信息系统局安全技术实施指南17 (DISA STIG),联邦风险和授权管理计划18 (FedRAMP),联邦信息安全管理法案19 (FISMA) 等。 在某些情况下,公司客户可能会出于各种原因要求进行评估,或要求查看最近的评估结果。 无论是临时的还是强制的,这些类型的评估都是
13http://tools.kali.org/tools-listing 14http://docs.kali.org
15https://www.offensive-security.com/metasploit-unleashed/ 16https://www.pcisecuritystandards.org/documents/Penetration_Testing_Guidance_March_2015.pdf 17http://iase.disa.mil/stigs/Pages/index.aspx
18https://www.fedramp.gov/about-us/about/ 19http://csrc.nist.gov/groups/SMA/fisma/
称为基于合规的渗透测试,或简称为“合规评估”或“合规检查”。
合规性测试通常从漏洞评估开始。 在 PCI 合规性审计的情况下20,漏洞评估如果执行得当,可以满足几个基本要求,包括:“2. 不要使用供应商提供的系统密码和其他安全参数的默认值”(例如,使用来自 密码攻击 菜单类别),“11。 定期测试安全系统和流程”(使用来自 数据库评估 类别)等。 一些要求,例如“9. 限制对持卡人数据的物理访问”和“12. 维护一个解决所有人员信息安全的政策”似乎不适合传统的基于工具的漏洞评估,需要额外的创造力和测试。
尽管在合规性测试的某些元素中使用 Kali Linux 似乎并不直接,但事实是 Kali 非常适合这种环境,不仅因为与安全相关的工具范围广泛,而且由于它基于开源 Debian 环境,因此可以安装各种工具。 使用从您使用的任何合规性框架中精心选择的关键字搜索包管理器几乎肯定会出现多个结果。 目前,许多组织使用 Kali Linux 作为这些确切类型评估的标准平台。