压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

實體滲透測試是常被忽視的檢測組織機構安全態勢的好方法。然而，如果準備不周，實體滲透測試可能給測試員造成嚴重后果。遠的不談，近期就有兩名滲透測試員因為不當探測愛荷華州達拉斯縣法院安全而被捕。

《得梅因紀事報》9 月 13 日報道，被捕滲透測試員受雇于科羅拉多網絡安全咨詢公司 Coalfire，持有“大量入室盜竊工具”。他倆聲稱自己是被“雇來測試法院警報系統有效性和測試司法機構響應時間的”，但達拉斯縣官方表示自己“對此雇傭合同毫不知情”……

媒體報道寫到：

愛荷華州司法部門官員表示，官方事后發現，州法院確實雇了人“通過各種方式嘗試未授權訪問”法庭記錄，以便檢查愛荷華電子法庭記錄的潛在安全漏洞。

但愛荷華州司法部門 9 月 24 日的一份新聞發布中稱，州法院 “并沒有打算或預期測試中包括強行進入大樓”。

在 9 月 18 日的新聞發布中，Coalfire 稱，公司與愛荷華州法院管理局“以為已就工作范圍內所含位置的實體安全評估達成了共識”。但顯然，最近的事件表明，Coalfire 和州法院管理局對該協議的范圍持有不同解釋。Coalfire 的聲明進一步指出，雙方都計劃執行獨立審查，并發布所簽訂的合同文件。

很明顯，此事具有不同側面，還有更多方面有待顯露。同時，關于實體滲透測試，有六條經驗教訓可供汲取：

1. 白紙黑字寫下來

首先，盡可能詳細地定義對戰規則 (ROE)。誰都不想蹲在班房里納悶為什么 “各種方式” 沒能賦予自己自由闖入的權利。這種工作說明書 (SOW) 還需具體指明你將要測試什么，試圖訪問或完成什么，以及實現的方式。ROE 和 SOW 中應盡可能地消除不確定性；否則，入侵本身及其結果就會留待解讀而不是有不容置疑的鐵證。

而且，SOW 中還應包含賠償條款，以防遭遇客戶給出不實范圍信息的情況。假設萬一出了問題，至少還有補償。

在實體評估過程中，我們建議讓客戶先對你的方法進行 “預演”，檢查會出現什么問題。還要讓他們的簽字人審核作戰命令 (OPORD) 并加以批準，過程中特別注意測試執行方式中的方法路徑或作戰構想 (CONOPS)。這樣一來，“強行實體侵入是否獲批”這樣的問題就不再成其為問題了，對雙方都好。

2. 隨身攜帶文件

執行滲透測試的時候，咨詢師應攜帶相當于 “免罪牌” 一樣的東西。大多數情況下，這意味著一份已簽署的同意書，里面寫明允許他們這么做的法律條款。持有 OPORD 和 ROE 復印件是個不錯的主意。

3. 測試中有專門的接洽點

必須設置防止誤解演變為糟糕事態的人員。關鍵在于為意外情況準備好多種應對措施。即便什么意外都沒發生，你自己的聯系人也需要知道事情的進展。

確保合理規劃作戰也很重要?？梢圆捎?PACE 方法——作戰過程中準備好主計劃 ( (Primary)、備用方案 (Alternate)、應急預案 (Contingency) 和緊急對策 (Emergency)。計劃再好也難免疏漏，但知道什么時候該去聯系誰，可以免去很多悲傷——被捕或更糟的情況。

4. 再進一步

如果可能的話，在測試之前通告當地司法機構，告知他們你將要做什么，向他們提供你客戶簽署的同意書。只要沒超出范圍，確保該設施和/或實體安全主管也知道你的測試計劃。這很重要。

5. 清楚你即將走進什么地方

你得知道客戶的問題升級處理和響應流程。對關鍵基礎設施或其他安全設施進行實體滲透測試過程中，當有人闖入時會出現一些特定情況，即使執行的是已授權測試，也會觸發響應，會被認為是違反北美電力可靠性委員會的各項關鍵基礎設施保護標準之類的規定。出于這些特殊考慮，可以安排一名觀察員在遠處 “押送” 測試方，這樣就不違反任何聯邦法律或監管要求了。

每種情況都很特殊，所有因素都需要考慮到。比如說，常收到暴力威脅和/或恐怖分子攻擊風險增加的商業設施，可能會給保安配槍。在進入之前先了解危險，知道你可能會違反什么規定，當問題出現時與客戶協同處理。

6. 知道自己的暴露面

最終，客戶并沒有保護你的義務。保護自己和客戶的責任落在你身上。從法律角度看，你會想知道自己的錯誤和遺漏/職業責任保險是否覆蓋此類情況。你想要確保責任和賠償要求寫明一般范圍違約情況的處理方式，并定義幾條基線規則。你還想了解疏忽和重大過失之間的差別。

必須不遺余力地定義你與客戶的對戰，要包括范圍和授權與未授權行為。所有的攻防對抗都是合作關系，通過提供清晰主動的溝通，可為所有參與方帶來最好的結果。

Des Moines Register 報道：

https://www.desmoinesregister.com/story/news/crime-and-courts/2019/09/11/men-arrested-burglary-dallas-county-iowa-courthouse-hired-judicial-branch-test-security-ia-crime/2292295001/

Coalfire 新聞發布：

https://www.coalfire.com/News-and-Events/Press-Releases/Coalfire-Comments-on-Pen-Tests-for-Iowa-Judicial