定期滲透測(cè)試或滲透測(cè)試是通過使用與攻擊者相同的工具、技術(shù)和程序來模擬網(wǎng)絡(luò)攻擊來了解組織安全狀況的重要組成部分。滲透測(cè)試的結(jié)果可以幫助您識(shí)別安全控制中的風(fēng)險(xiǎn)和差距。通過在攻擊者發(fā)現(xiàn)問題之前識(shí)別和修復(fù)問題，可以確保應(yīng)用程序和基礎(chǔ)結(jié)構(gòu)的持續(xù)安全性和保護(hù)。不幸的是，由于范圍界定不明確、目標(biāo)定義不清和測(cè)試不切實(shí)際，許多滲透測(cè)試沒有達(dá)到預(yù)期的結(jié)果。如何從滲透測(cè)試中投資的資金中獲得最大價(jià)值呢？

1：明智地選擇滲透測(cè)試供應(yīng)商。

選擇價(jià)格合理、技術(shù)嫻熟、具有良好業(yè)績(jī)記錄和高質(zhì)量、可用可交付成果的滲透測(cè)試供應(yīng)商將有助于確保高質(zhì)量的結(jié)果，并為更深入的測(cè)試或進(jìn)一步的測(cè)試留出一些預(yù)算。

選擇滲透測(cè)試供應(yīng)商時(shí)，有三個(gè)主要考慮因素：價(jià)格、技能/經(jīng)驗(yàn)和報(bào)告質(zhì)量。

價(jià)格

這是最不重要的考慮因素。大多數(shù)滲透測(cè)試的參與率非常相似，有廉價(jià)、高端和鉑金版本。

此外，尋找將發(fā)現(xiàn)的漏洞的重新測(cè)試?yán)壍絻r(jià)格中的供應(yīng)商。如果不包括在內(nèi)，則可能增加初始測(cè)試成本的10%至20%，具體取決于供應(yīng)商和測(cè)試類型。

技能

技能和經(jīng)驗(yàn)是下一個(gè)最重要的標(biāo)準(zhǔn)。尋找擁有CREST或OSCP認(rèn)證的測(cè)試人員團(tuán)隊(duì)的公司。此外，請(qǐng)?jiān)儐枅?zhí)行測(cè)試的測(cè)試人員的?BIOS，并查找通過?CVE?編號(hào)發(fā)現(xiàn)的漏洞或參與可歸因于滲透測(cè)試供應(yīng)商或滲透測(cè)試人員的漏洞賞金計(jì)劃的提及。

報(bào)告

在選擇滲透測(cè)試供應(yīng)商時(shí)，報(bào)告的質(zhì)量是最重要的標(biāo)準(zhǔn)，只要他們有足夠的熟練測(cè)試人員。這是您的組織在測(cè)試人員繼續(xù)進(jìn)行下一次參與時(shí)將留下的報(bào)告。

滲透測(cè)試是昂貴的，在滲透測(cè)試報(bào)告中提供的"建議"通常是毫無價(jià)值和危言聳聽的。我知道;我過去寫過相當(dāng)多的滲透測(cè)試報(bào)告。諸如"實(shí)施最佳實(shí)踐"之類的術(shù)語無助于推動(dòng)提升組織安全態(tài)勢(shì)所需的更改。

查找提供實(shí)用的修正建議（包括配置和代碼段）的報(bào)告。最重要的是查看樣本報(bào)告，了解危言聳聽的發(fā)現(xiàn)，例如標(biāo)記為"高風(fēng)險(xiǎn)"的cookie標(biāo)志。具有危言聳聽結(jié)果的報(bào)告無助于幫助您推動(dòng)組織中的補(bǔ)救措施。

此外，尋找通過與您的系統(tǒng)集成來進(jìn)一步提供報(bào)告的供應(yīng)商，以針對(duì)他們發(fā)現(xiàn)的問題提出票證，或者提供黑客攻擊視頻的供應(yīng)商，這可以顯示攻擊者如何簡(jiǎn)單地利用技術(shù)安全問題。

2：執(zhí)行白盒測(cè)試以節(jié)省時(shí)間和金錢。

在白盒測(cè)試中，您可以為滲透測(cè)試人員提供有關(guān)目標(biāo)環(huán)境的詳細(xì)信息，包括域/子域，主機(jī)名，IP地址，網(wǎng)絡(luò)圖，不同權(quán)限級(jí)別的帳戶，Swagger / OpenAPI定義，甚至對(duì)源代碼的訪問。通過白盒測(cè)試方法顯著減少或消除信息收集、偵察和發(fā)現(xiàn)階段，可以顯著減少時(shí)間和成本。

白盒測(cè)試遵循"假設(shè)違規(guī)"的心態(tài)，為滲透測(cè)試人員提供訪問權(quán)限，允許他們執(zhí)行測(cè)試用例，例如權(quán)限提升，橫向移動(dòng)和敏感系統(tǒng)或數(shù)據(jù)的識(shí)別。

3：執(zhí)行黑盒測(cè)試以發(fā)現(xiàn)實(shí)際周長(zhǎng)。

在黑盒測(cè)試中，您可以向滲透測(cè)試人員提供有關(guān)目標(biāo)的最少信息，例如，域名、IP?或主機(jī)名、IP?子網(wǎng)，或盡可能少地提供公司名稱。這種類型的測(cè)試適用于模擬針對(duì)性攻擊，例如高級(jí)持續(xù)性威脅或APT。

黑盒測(cè)試也是發(fā)現(xiàn)影子IT的好方法。您知道所有注冊(cè)域名嗎？您的?IP?地址空間如何？您是否知道您的組織正在使用哪些云平臺(tái)？您是否知道您的組織使用的所有系統(tǒng)都在哪里？

你可能會(huì)自信地說"是"，但你可能會(huì)對(duì)黑匣子測(cè)試的結(jié)果感到驚訝：打開你不知道的域、云使用情況、SaaS和影子IT。請(qǐng)記住，您無法保護(hù)您不知道的內(nèi)容。

為您的錢尋找最大的收益

正確界定滲透測(cè)試的范圍是從滲透測(cè)試投資中提取最大價(jià)值的關(guān)鍵。

4：不要將滲透測(cè)試程序用作昂貴的漏洞掃描程序。

如果您的組織沒有最新的補(bǔ)丁，為什么會(huì)使用滲透測(cè)試儀作為昂貴的人類漏洞掃描程序？為什么要使用滲透測(cè)試人員來告訴您您的漏洞管理程序已經(jīng)可以告訴您的內(nèi)容？

例如，如果您讓一個(gè)體面的滲透測(cè)試人員訪問大多數(shù)未使用關(guān)鍵補(bǔ)丁更新的內(nèi)部網(wǎng)絡(luò)，那么他們應(yīng)該在一天內(nèi)擁有Windows域管理員。

對(duì)未使用最新補(bǔ)丁的內(nèi)部網(wǎng)絡(luò)進(jìn)行基礎(chǔ)設(shè)施滲透測(cè)試將生成厚厚的滲透測(cè)試報(bào)告，幾乎可以保證利用。應(yīng)確保有針對(duì)性地進(jìn)行滲透測(cè)試，如以下提示所示。

5：選擇用戶定義的測(cè)試用例以識(shí)別公司特定的漏洞。

大多數(shù)滲透測(cè)試組織將在其工作說明中定義標(biāo)準(zhǔn)測(cè)試用例，通常是OWASP前10名。雖然這些都是重要的測(cè)試用例，但作為您業(yè)務(wù)中的安全專業(yè)人員，您將對(duì)測(cè)試的系統(tǒng)產(chǎn)生疑慮，疑慮或已知風(fēng)險(xiǎn)。您可以將這些轉(zhuǎn)換為測(cè)試用例，并在確定測(cè)試范圍時(shí)將其提供給滲透測(cè)試供應(yīng)商。

在典型的公司特定測(cè)試用例中，我將要求在應(yīng)用程序中包括權(quán)限提升。對(duì)于財(cái)務(wù)應(yīng)用程序，我將請(qǐng)求一系列否定或基于欺詐的測(cè)試用例，例如付款中的負(fù)金額。

此外，不要忘記包括以前通過違規(guī)、威脅情報(bào)或滲透測(cè)試發(fā)現(xiàn)的漏洞派生的測(cè)試用例。

6：選擇基于目標(biāo)的測(cè)試以針對(duì)特定測(cè)試用例。

基于目標(biāo)的測(cè)試為測(cè)試人員設(shè)定了一個(gè)明確的目標(biāo)?-?這并不奇怪。目標(biāo)是針對(duì)特定的測(cè)試用例或威脅執(zhí)行。滲透測(cè)試人員可以訪問CEO的筆記本電腦嗎？他們能否訪問?SAP?工資單？

基于目標(biāo)的測(cè)試有助于驗(yàn)證或否定有關(guān)所選目標(biāo)的控制功效或風(fēng)險(xiǎn)可能性的內(nèi)部假設(shè)。

原文轉(zhuǎn)自databreachtoday，作者Charles Gillman，超級(jí)科技譯，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明出處和原文譯者為超級(jí)科技！

Hi，我是超級(jí)科技

超級(jí)科技是信息安全專家，能無上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！