34. 【題組 4】如附圖所示,OSSTMM 開源安全測試方法手冊(The Open Source Security Testing Methodology Manual)其中所述,於測試安全性前應適當定義安全測試(Security Test)以妥善管理複雜性。關於常見的安全測試類型,下列敘述何項錯誤?

(A)盲測(Blind Test)通常也稱為藍隊演練(Blue Team Exercise)
(B) 雙盲測試(Double Blind Test)通常也稱為滲透測試 (Penetration Test)
(C) 灰箱測試(Gray Box Test)常被稱為弱點測試 (Vulnerability Test)
(D) 反向測試(Reversal Test)通常也稱為紅隊演練 (Red Team Exercise)

答案:登入後查看
統計: A(394), B(69), C(76), D(55), E(0) #3102165

詳解 (共 1 筆)

#6343068

以下為逐一解釋各選項:

(A) 盲測(Blind Test)通常也稱為藍隊演練(Blue Team Exercise)
錯誤
盲測(Blind Test)是指受測單位(Target)完全知道即將進行測試,但攻擊者(測試人員)對目標知識不足,甚至完全不知道內部環境狀態。而「藍隊」(Blue Team)通常指的是防禦方團隊(內部人員負責防守與偵測攻擊者),與盲測的概念並不一致。因此此選項錯誤。

(B) 雙盲測試(Double Blind Test)通常也稱為滲透測試(Penetration Test)
正確
雙盲測試(Double Blind Test)指的是目標組織與測試人員彼此皆不知情的情況下進行測試,以真實模擬外部攻擊者對內部環境進行的滲透測試(Penetration Test)。

(C) 灰箱測試(Gray Box Test)常被稱為弱點測試(Vulnerability Test)
正確
灰箱測試(Gray Box Test)是指攻擊者(測試人員)具備部分目標內部資訊,以協助快速定位弱點或問題。因此常被稱為弱點測試(Vulnerability Test),因其目的在於發現並評估已知與未知的弱點。

(D) 反向測試(Reversal Test)通常也稱為紅隊演練(Red Team Exercise)
正確
反向測試(Reversal Test)是指攻擊方(測試人員)具備完整或充分的內部資訊,而受測單位(目標)對測試毫無預警,以模擬最真實的攻擊情境。這種模式正是典型的紅隊演練(Red Team Exercise)的模式,模擬高強度且高隱密性的攻擊行為。

因此,本題錯誤的選項為:

? (A)

67de96b239faf.jpg

描述
1. Blind(盲測) 分析人員在對目標的防禦、資產或通道一無所知的情況下進行測試。目標預先知道要進行稽核,也知悉稽核的所有細節。盲測主要在考驗分析人員的技能,其深度和廣度取決於分析人員的相關知識與效率。在 COMSEC 與 SPECSEC 領域,此測試通常被稱為「Ethical Hacking(道德駭客測試)」,在 PHYSSEC 範疇則經常安排為「War Gaming(戰略模擬)」或「Role Playing(角色扮演)」。
2. Double Blind(雙盲測) 分析人員在對目標的防禦、資產或通道一無所知的情況下進行測試,且目標也未事先被告知稽核範圍、測試的通道或測試向量。雙盲測除了測驗分析人員的技能,也同時測驗目標面對未知擾動因素的準備程度。和盲測一樣,其深度和廣度受限於分析人員的知識與效率。本測試也常被稱為「Black Box Test(黑箱測試)」或「Penetration Test(滲透測試)」。
3. Gray Box(灰箱測試) 分析人員對目標的防禦、資產只有有限了解,但對通道則完全掌握。目標事先得知稽核,且瞭解所有細節。灰箱測試主要考驗分析人員的技能,測試性質傾向於「效率」。其深度與廣度取決於目標在測試前提供給分析人員的資訊品質,以及分析人員自身的相關知識。此類測試常被稱為「Vulnerability Test(弱點測試)」,通常由目標方自行發起以作自我評估。
4. Double Gray Box(雙灰箱測試) 分析人員對目標的防禦、資產只有有限了解,但對通道則有完全認知。目標只被告知稽核的範圍和時間點,卻不知道實際測試的通道與測試向量。雙灰箱測試同時考驗分析人員的技能,以及目標面對未知擾動的準備度。其深度與廣度取決於目標在測試前提供給分析人員的資訊品質、測試時間,以及分析人員的專業知識。此測試亦被稱為「White Box Test(白箱測試)」。
5. Tandem(並行測試) 分析人員和目標皆已做好準備,雙方都在事前知悉稽核的全部細節。並行測試主要在檢視目標的保護與控制措施,但對於目標面對未知擾動的準備情況則無法完全評估。該測試真正的著眼點在於「全面性」,因為分析人員可充分了解所有測試與對應回應。測試的深度與廣度取決於目標在測試前提供給分析人員的資訊透明度,以及分析人員相關知識。此測試也常被稱為「In-House Audit(內部稽核)」或「Crystal Box Test(水晶盒測試)」,而分析人員常是安全流程的一部分。
6. Reversal(反向測試) 分析人員對目標的流程與作業安全有完整瞭解,但目標方對分析人員會「何時、以何種方式」測試毫不知情。此測試的核心目的,是評估目標對未知擾動因素及攻擊向量的準備程度。其深度與廣度取決於分析人員掌握的資訊品質、自身的知識與創造力。此測試也常被稱為「Red Team Exercise(紅隊演練)」。
0
0

私人筆記 (共 2 筆)

私人筆記#6774173
未解鎖
選項分析 (A) 盲測(Blind T...
(共 1433 字,隱藏中)
前往觀看
1
0
私人筆記#6301884
未解鎖
讓我們逐項分析: (A) 盲測(Bli...
(共 655 字,隱藏中)
前往觀看
1
0