这是一个找遍CISSP三个主要教材(CBK、OSG、AIO)都不见但考试会考到的内容(*^_^*)y
本文中内容主要出自NIST SP 800-115 信息安全测试和评估技术指南TECHNICAL GUIDE TO INFORMATION SECURITY TESTING AND ASSESSMENT ,笔者水平有限,请参见原文以准。
公开测试Overt Testing:
在机构的IT人员知情并同意的情况下进行的外部和/或内部测试,从而实现对网络或系统安全状况的全面评估。
由于IT人员完全了解并参与了测试,可以实现较高的测试覆盖度,可以提供指导以最小化测试的影响;
测试还可以提供一个培训的机会,IT人员可以观察学习评估人员的评估方法和绕过现有安全措施的方法。
公开测试的成本较低,风险比隐蔽测试小,且更多的被采用。
隐蔽测试Covert Testing:
采取对抗性的方法,在机构的IT人员不知情的情况下进行测试,但得到了上层管理部门的充分了解和许可。在有或没有警告的情况下进行都可以。
目的是检查攻击者可能造成的损害或影响——它并不侧重于识别漏洞,测试覆盖度低于公开测试;
除了不能充分的识别漏洞外,由于隐蔽性要求,隐蔽测试通常很耗时,而且成本较高。为了在隐蔽环境中操作,测试团队必须控制扫描和其他行动的节奏,以规避目标机构的安全人员的“雷达”。
隐蔽测试的优势在于能更好地揭示目标机构的日常真实安全状态,主要体现在如下三个方面:
- 现有安全控制的效用
- IT人员对感知到的安全事件的反应
- 员工对机构安全政策的了解和执行
隐蔽测试通常需要事先定义明确的界限,当达到一定的访问水平或显现出测试的下一步可以实现某种类型的破坏时,就停止测试。