同样重要的,或者甚至更多的是管理控制的测试。管理控制通常主要是通过策略或流程来实施的控制。在本节中,我们将讨论测试管理控制的一些关键方法。1攻击者的一种首选技巧是尽快成为他们攻击系统的“正常”特权用户。他们可以通过至少三种方式来完成此操作:盗用现有特权帐户,创建新的特权帐户,或是提升常规用户帐号的权限。第一种方法可以通过使用强认证(例如:强密码或更好的双因素认证)以及通过让管理员仅在特定任务时使用特权帐户的方法予以消减。可以通过密切注意用户帐号的创建、修改或误用来消减第二和第三种方法。这些控制都属于帐户管理的类别。测试所有员工都是否知道AUP和其他适用的政策是审核用户帐号的第一步。因为每个用户都应该有一个签名过的AUP,例如:我们所需要的是获得组织中所有用户的列表,然后将其与含有签名文档的文件进行比较。在许多情况下,新员工签名过的所有文件由人力资源(humanresources,HR)所保存,而计算机帐户则由IT所维护。交叉检查AUP和用户帐号还可以验证这两个部门是否进行着有效的沟通。添加、删除或修改权限应该有一套被精确控制和记录的过程。新的权限何时生效?他们为什么需要?谁授权的更改?那些具有成熟安全过程的组织会有适当的变更控制过程,以处理用户的特权。虽然许多审计人员将注意力集中为在组织中谁具有管理权限,但还是有许多自定义的权限集已经达到了管理员帐户的级别。因此,重要的是要有可用来测试那些定制的高级权限的过程。测试对于已暂停帐户的管理控制,可以遵循前两个部分中已经阐述过的相同模式:查看每个帐户(或获取所有帐户的代表性示例),并根据我们人力资源的记录将这些与其所有者的状态进行比较。或者,我们可以获取一个临时或永久离开组织的员工名单,并检查这些帐户的状态。严格按照数据保留策略去删除帐户是非常重要的。当然管理员过早的删除用户帐号和/或文件,对已离职员工的许多调查也会造成阻碍。2无论采用何种组织数据的备份方法,我们都需要定期测试,以确保备份在我们需要时能按照其预定的方式运行。一些遭受过事故或灾难的组织会被要求从备份中恢复一些或所有的数据,以提前发现备份的丢失、损坏或过期。本节将讨论一些用来评估数据是否能在我们需要时保持可用的方法。数据类型:用户数据文件、数据库、邮箱数据测试数据备份开发各种场景,以捕获那些代表着组织所面临的威胁的特定事件集。制定计划,测试每个场景中的所有关键任务的数据备份。利用自动化...
