为什么您的组织需要渗透测试计划
本网络研讨会最初于2025年2月27日播出。加入我们,参加由Corey Ham和Kelli Tarala主持的特别免费一小时Black Hills信息安全网络研讨会,探讨为什么您的组织需要渗透测试计划。
GRC就像一台可靠的蒸汽机,确保运营顺畅,而渗透测试则像叛逆的朋克精神,挑战弱点。当两者结合时,它们创造了蒸汽朋克——结构与创新的完美融合,就像Kelli和Corey一样。这将是一个信息丰富的会议,回答您关于建立渗透测试计划的许多问题。
亮点
- 完整视频
- 文字记录
Jason Blanchard:大家好,欢迎来到今天的Black Hills信息安全网络研讨会。我是Jason Blanchard,是Black Hills的内容社区总监。如果这是您第一次参加我们的网络研讨会,非常感谢您的加入。如果这是您的第50次,也非常感谢您的参与。别忘了查看Hack It。
如果您正在观看录制内容,您可能不知道那是什么意思,没关系。未来,您可以在我们的网络研讨会期间加入Discord Live。我们很乐意您在那里。有一个由50,000名信息安全专业人士组成的强大社区,随时回答问题,帮助您的职业生涯,确保您在这个行业中不感到孤单。
说到帮助我们回答问题并在这个行业中不感到孤单的人,我们今天有Corey和Kelly。他们将一起讨论为什么您的组织需要渗透测试计划。如果您觉得“我已经认为我们需要渗透测试计划”,那么这将强化您的想法。如果您不确定是否需要渗透测试计划,那么这将是一个为您提供所需信息的网络研讨会,您可以将其带给领导并说:“我刚刚看到了这个,我们可能应该做这件事。”所以他们现在就要做这件事。
如果您有任何问题,请随时在Discord或Zoom中提问。我们会在网络研讨会结束时或期间尽最大努力进行问答,如果Corey和Kelly看到一些有趣的内容并想立即回应。
那么,Kelly和Corey,你们准备好了吗?
Corey Ham:准备好了吗?
Jason Blanchard:好的,我要回到后台处理Hack It的事情,然后准备邮寄我们刚刚赠送的漫画书。非常感谢您今天加入我们并与社区分享您的知识。
Corey Ham:当然。谢谢,Jason。所以Kelly和我在新闻期间相识,如果您不知道的话,我们在BHIS有一个新闻播客。我认为我们面对面交谈得越多,我们就越意识到我们都不太了解彼此的工作,因为我对GRC不是很了解。
我不会对Kelly说同样的话,但我认为关于渗透测试人员实际做什么或他们认为自己做什么与实际做什么,总是有更多要学习的。所以我们决定将GRC和渗透测试结合起来。
我们早期讨论的另一件事是,一些组织非常擅长渗透测试并利用结果,从中获得良好的成果,而其他组织则不那么好。显然,有时这是基于成熟度或其他因素,但很多时候它似乎与企业的任何其他属性都没有关联。所以我们真的想设定基准,解释如何进行渗透测试以及如何做好。
Kelly,这样准确吗?
Kelli Tarala:哦,我认为你说到点子上了,Corey。我们真正想关注的是合作。我们在新闻上有过一些非常美好的时光,在某些事情上同意不同意,我们希望通过提供更多关于彼此做什么的信息,以及彼此不做什么或可能涉及一些误解,来培养渗透测试人员和GRC人员之间更好的关系。
所以谢谢你的精彩介绍,Corey。我很感激。我是Kelly Torala。如果您不知道我是谁,我在Black Hills做GRC。是的,我帮助Black Hills的客户做GRC事情,可能包括政策审查、政策分析、建立风险管理计划、进行评估、风险评估等各种有趣的事情。
如果您不知道,我过去在SANS编写课程材料。我为CIS控制做出了贡献。Corey和我试图再次找到一些共同点。我们正在谈论披萨。我特别喜欢意大利辣香肠配黑橄榄。
Corey,我想你对披萨有强烈的感觉,对吧?
Corey Ham:是的。谢谢,Kelly。我的背景是渗透测试员。我现在实际上负责BHIS的持续渗透测试产品。所以我有点演变成了中层经理。但10年来,我一直是一名渗透测试员。
那是我的工作头衔。那是我的第一份工作。所以我拥有渗透测试员关于事情如何完成、为什么完成的所有狭隘观点。所以这次讨论的大部分内容将只是我问一些愚蠢的问题,而Kelly说:“嗯,实际上,根本不是那样的。”
是的,我最喜欢的披萨是玛格丽特。我喜欢罗勒。保持简单。一些马苏里拉奶酪,一些奶酪,也许少放点奶酪,一些红酱,扔进去,就好了。
Kelli Tarala:嗯,我希望Discord里的人也会输入他们最喜欢的披萨。我看到菠萝问题已经出现了。我们现在先放过那个怎么样?
Corey Ham:是的。分享你最喜欢的披萨。如果有人说是菠萝和黑橄榄,我会质疑它。但我也会说,让我看看你的订单历史。所以这张幻灯片和一个模因展示了Kelly和我在开始谈论渗透测试和GRC以及GRC做什么、不做什么时的感受。
我们就像在同一个房间里,就像,“等等,你做什么?为什么你要对我大喊大叫关于漏洞?为什么我必须修复这个?”而且,我们觉得威胁行为者也在房间里,但我们真的不知道他们在做什么或没做什么。
渗透测试人员倾向于从进攻的角度看问题,对吧?比如,这是可能发生在你身上的坏事。而GRC可能从防御的角度看问题。但我觉得我们就像在对峙:“好吧,GRC,你们是做什么的?渗透测试,你们是做什么的?”所以这就是我们的背景。
让我们进入一些误解。所以当我们浏览这张幻灯片时,让我们问问观众。
所以在聊天中输入。我们先做GRC。你认为GRC是什么?也许总结一下。你不必超级技术性,但也许只是简单总结一下你认为GRC做什么。
Kelli Tarala:所以,Corey,我要说但不会放在幻灯片上的是,GRC似乎有很多女性。我很高兴在节目前的闲聊中看到Ashley,因为Ashley是我认识的少数从事渗透测试的女性之一。
很多女性喜欢GRC是有原因的。我会告诉你为什么。工作时间比渗透测试好。如果你在养家或试图养丈夫,这样会容易一点。
Corey Ham:有趣。所以在Discord中我看到一些有趣的,有人输入“安全团队中的成年人”或“安全部门的成年人”。我觉得这很有趣,也有点准确。对吧,Kelly?
那有点接近真相。是的,我的意思是,人们也在那里输入他们的披萨。有人说规则,最好的工作。如果你不想在凌晨3点被叫醒。
那个挺有趣的。
Kelli Tarala:哦,当然。
Corey Ham:和你刚才说的相符。让我们看看那里有什么好的吗?Marshawn Lynch。“我在这里只是为了不被解雇。”安全政策和治理。有很多合规的事情。所以GRC代表治理、风险和合规。
没错。它实际代表的就是这个。
Kelli Tarala:确实。我很感激我们的Discord观众。他们非常友善。但让我说说通常不会大声说出来的事情。GRC人员不一定是有趣的人。他们是规则守护者,规则执行者。
有时人们从会计或审计转到GRC,他们非常黑白分明,有时甚至比渗透测试人员更黑白分明。我们也被视为一种障碍。
哦,我的天哪。我有这个项目要做,现在你要我回应评估。你要我更新政策。有时我们被理解为阻止真正的工作完成。
另外,其他人认为GRC只是一份清单。哦,我的天哪。翻个白眼在这里。完成清单,我们就可以继续做真正的工作。但我们将讨论为什么GRC确实是真正的工作。
但首先,Corey,让我们谈谈关于渗透测试的一些误解。
Corey Ham:是的,所以我们为GRC做了。我们也为渗透测试员做吧。所以进入Discord,输入你认为渗透测试员是什么。我希望人们不那么友善,我们可以得到一些有趣的笑声。
渗透测试员做什么?
Kelli Tarala:我的恐惧是渗透测试员连续四、五、七天穿同样的衣服。
Corey Ham:有人说以破坏东西为生。那挺有趣的。我在看一些。这里有一些好的。“戳东西直到它坏掉。”“确保墨水质量。”那个有趣。有一个人用GIF测试那支笔。
“渗透测试员破坏我的东西。”有一些有趣的假红队人员。“他们是测试漏洞的超蓝队员。”GRC指出那个很好。是的,我的意思是,我想生成票证。
渗透测试员想象他们是摇滚明星。那挺有趣的。人们甚至说渗透测试员现在说他们破坏东西。
Kelli Tarala:所以Corey。我记得Chris Trainer在节目前的闲聊中提到,他的妻子说他是渗透测试员,通常眉毛会扬起,他们不确定是否应该问更多问题还是就此打住。
Corey Ham:是的,我想,作为10年职业生涯的渗透测试员,我从未告诉普通人我是渗透测试员。我只是说我从事计算机工作,就此打住。如果他们追问,我可能会说:“哦,我闯入公司并告诉他们我是怎么做的,这样他们就不会被闯入。”
Jason Blanchard:对。
Corey Ham:但我在野外不说渗透测试员。提出“渗透”这个词对普通人来说不是一件好事。但是,是的,所以那是一些有趣的误解。让我们回到幻灯片。
我想大多数,M1之前的幻灯片。所以我们看到的大多数实际上有点准确。对吧。所以发现漏洞。但误解是渗透测试员发现一切,他们可以黑客任何东西。对吧?比如,渗透测试员被视为巫师,你给他们世界上的任何东西,他们都可以闯入,他们可以黑客它。
我的意思是,我们将讨论为什么这不是真的。而且渗透测试员穿着连帽衫在黑暗的房间里,一直聚会,狂饮Jolt colas或Mountain Dews或Red Bulls或其他什么,只是Jolt,在键盘上 grinding,不能带到光线下。
如果我们接触草地,我们会枯萎死亡。是的,所以我认为双方都有有趣的误解,但让我们澄清误解,讨论我们实际做什么,或者至少我们的目标是什么,不一定是日常的。
所以GRC的目标是什么,Kelly?
Kelli Tarala:嗯,Corey,实际上我们正在做这张幻灯片。我和Black Hills的CJ讨论过这个。GRC真的很难用一句简短的话来定义。
但让我试着谈谈。真的。GRC有两个主要目标:为网络安全、隐私或数据治理计划奠定基础。说,我们想做好的事情。
那些好事情是什么?我们将如何衡量自己?所以这 kind of 是基础,也是我们谈论为什么你想要一个渗透测试计划的基础。它如何融入你的GRC基础?
Corey,GRC的另一个方面,我喜欢认为是组织的护栏。我知道有些人对“护栏”这个词有不愉快的经历。
他们在想:“哦,我的天哪,那听起来很可怕。”但如果你想想在山上开车,开着你真的不舒服的Penzi卡车,护栏会告诉你如何保持在路上,远离危险,避免对卡车不好的事情。
所以我认为护栏是积极的东西。所以GRC的主要目标是指导和组织所有网络安全活动,以 cohesive 的方式。
所以我们知道为什么进行渗透测试,所以我们知道为什么进行漏洞管理。而且。是的。进行评估并保持政策更新。那么渗透测试的主要目标是什么?
Corey Ham:所以,我的意思是,与GRC不同,渗透测试员的工作我认为很简单,对吧?只是。执行方式可能很复杂,但渗透测试的目标是发现漏洞。
这真的是渗透测试员的一个 track mind:我发现漏洞。我认为渗透测试员的真正角色是使这些漏洞易于消化和可操作。对吧。就像,有很多,渗透测试员和黑帽黑客之间的区别在于渗透测试员写报告,对吧?
所以最终,我们的目标是发现漏洞,但我们 kind of 秘密目标是使这些漏洞易于发现、易于理解,并希望易于修复,或者至少存在对这些漏洞的认识。
Kelli Tarala:我很高兴你这么说。不仅仅是发现漏洞,而是以其他人能够理解的方式呈现它们。如果是技术性很强的观众,如果是技术性较弱的观众,可能是商业领导甚至GRC人员,他们可能知道漏洞的四分之三,但可能不知道全貌,我真的很感激,Corey。
那是一个很好的解释。
Corey Ham:所以到目前为止我们一直很积极,但让我们稍微消极一点。所以为什么GRC和渗透测试应该成为朋友?为什么我们关心为什么?我们已经有一个渗透测试计划,它运行良好。所以让我们在这里设定行业基准。
这来自Verizon数据泄露报告,这是一份分析全年发生的数千起数据泄露的报告。它已经发生了很多年。所以它是关于为什么发生泄露、如何发生的行业标准指南。
这是该报告的一个统计数据。所以去年。这是2023年或抱歉,2024年。14%的泄露涉及利用漏洞作为初始访问步骤,是前一年的三倍。
所以从我的角度来看。再说一遍,14%。14%的泄露涉及利用漏洞作为初始访问步骤,是去年的三倍。
所以从我的角度来看,如果GRC和渗透测试做得好,这个统计数据应该是不可能的。我们的事情是我们发现漏洞,你努力修复或缓解或控制它们。
所以如果我们 properly 做这些事情,由可利用漏洞导致的泄露数量不应该增加。对吧。那很糟糕。
Kelli Tarala:Corey,我欣赏你刚才说的。你能再强调一下吗,我们关心的不是14%,而是三倍的数量。
Corey Ham:没错。你会期望这个数字趋势下降。对吧?我们有漏洞管理程序,扫描器很好,我们有持续扫描,我们有所有这些技术解决方案和代码审计,工具比以往任何时候都好。
你会认为成熟度在上升,但并没有。或者至少根据Verizon数据泄露报告,漏洞仍然被利用。对吧。所以让我们,我们有一些为什么的例子。
所以让我们谈谈为什么。所以这进入了一点关于相关性与因果关系的讨论。Verizon数据泄露报告纯粹是数字上的。它说在我们跟踪的数据泄露中,这些是原因。
所以为什么这可能的一些例子。一个是修复。对吧?也许发现了一个漏洞。是的,人们说:“是的,这是2024年的报告。”所以这是基于2023年的数据,所以还没有2025年的报告。
但基本上修复是其中的一个组成部分。也许渗透测试员发现了一个漏洞,没有及时修复,然后被利用了。所以这是一个可能的原因,我想,Kelly,GRC在修复中扮演角色,对吧?
Kelli Tarala:哦,当然。所以,修复是一个大词。听起来,听起来有点吓人。但实际上修复意味着修复东西。它意味着降低风险。
很多时候我们会看到一个漏洞,房间里会有某些急性子的人说,我们需要立即修复它。然后有时GRC人员,甚至业务部门的人会说:“听着,我们需要计划这个,因为这是我们的生产系统。”
我们需要把它拿下来。我们需要了解如果应用这个修复漏洞会有什么风险。如果我们将生产系统拿下来,我们会损失多少收入?
所以,GRC所做的是 kind of 包装修复那个漏洞,并考虑合规问题。如果你在受监管的领域,你可能无法在特定窗口内修复那个漏洞。
你可能需要等待30天。你可能需要提交报告或请求来修复那个漏洞。其次,我们倾向于看风险。而那些修复漏洞的人,通常在技术团队、安全团队、漏洞管理团队,理解位和字节,他们可能不完全理解如果我们修复或不修复那个漏洞可能对业务造成的全面风险。
但是Corey,让我们直截了当一点。有些漏洞很难修复。它们运行的生产系统感觉像是用绳子和锡罐 held together。
其次,漏洞可能很难修复,因为业务部门不会安排停机时间。你看到组织可能不修复漏洞的其他原因吗?
Corey Ham:我的意思是,我想,从我的角度来看,渗透测试在这一切中的工作是向GRC团队或其他人报告风险,基本上说,你需要尽快修复这个。
我认为,如果渗透测试在这方面可能失败了一件事,那就是报告这些漏洞的人可能没有在使其他人都意识到它们可能导致数据泄露的背景下进行报告。
对吧。所以我认为显然我们在这里推测为什么这个数字是这样。但从我作为渗透测试员的角度来看,我们的工作是,当我们鼓励修复时,同时解释影响。
所以,这个数字可能上升的另一个原因是缺乏可见性。所以也许组织被利用并发生了数据泄露,他们甚至不知道自己易受攻击。
现在可能有多种原因,但我认为如果他们没有一个很好的渗透测试计划,他们可能根本没有进行渗透测试,不知道漏洞存在。或者可能超出渗透测试。
可能是漏洞管理扫描。如果你没有进行定期的安全扫描和渗透测试,你甚至不会知道自己在发生数据泄露之前是易受攻击的。我们在这里推测。但我怀疑在相当多的情况下,组织被利用的漏洞他们甚至不知道存在。
所以我认为那是,GRC的工作是说:“嘿,伙计们,我们不知道,对吧?嘿,我们不知道我们的情况,我们易受什么攻击。”是那样吗,Kelly?
Kelli Tarala:嗯,Corey,我要在此基础上说一点,有很多噪音,尤其是在漏洞管理系统方面。如果我在看,我要求一份报告:“好吧,我们有什么?目前正在处理哪些漏洞?哪些有高、中或低指定?也许它们的风险评级是什么?”许多组织有2到300个中等水平的漏洞。
老实说,GRC人员很难说:“嗯,200个漏洞正常吗?那不正常吗?”有时我们缺乏清晰度来说这个特定的漏洞。
我看到人们在谈论Move It问题,那应该被突出显示,应该用红色标出,周围应该有闪烁的灯光,并说:“听着,这是我们目前最高风险的漏洞,需要立即解决。”
但有时有太多漏洞,它会在噪音中丢失。那么渗透测试报告或人员如何帮助GRC人员穿透噪音?
Corey Ham:所以我认为,我们将更多讨论如何从头开始构建这个计划。但我认为,我们在谈论可见性。关键是确保作为渗透测试员,客户的请求和他们对渗透测试的目标匹配,我们在Black Hills这样做,对吧?
如果有人说:“嘿,我想要一个外部渗透测试,这是范围,只是一个IP,”我们就像:“你确定吗?你确定那是你想要的范围吗?”但当谈到像穿透噪音,如你所说,这就是为什么我们有严重性,为什么我们有风险评分,为什么我们有执行摘要和汇报。
我认为渗透测试员往往做得很差,说:“哦,这是严重的,这是高的。”我认为,有很多高的,如果我读一份渗透测试报告,我会说那不是那么大的优先级。对吧?像我们看到的经典一个是,有可利用的软件,据称易受攻击,未打补丁的软件。
但如果你没有成功利用它,我真的应该关心吗?也许有人可以 exploit it。但那是渗透测试员的工作去弄清楚,实际上是利用漏洞,并引起对实际上可 exploit 的东西的关注,而不是那些可能如果风速是22英里每小时,火星逆行,然后可能发生拒绝服务条件的东西。就像:“好吧,那实际上发生的可能性有多大?”那不一定在每个渗透测试报告中定义得很好。所以我认为渗透测试员可以在这方面做得很好。
嗯,哦,对不起,请继续。
Kelli Tarala:我正要说的