为何您的组织需要渗透测试计划

本网络研讨会最初于2025年2月27日播出。加入Corey Ham和Kelli Tarala的特别免费一小时Black Hills信息安全网络研讨会，探讨为何您的组织需要渗透测试计划。

GRC如同可靠的蒸汽引擎，推动平稳运营，而渗透测试则像叛逆的朋克精神，挑战弱点。两者结合，创造出蒸汽朋克——结构与创新的完美融合，正如Kelli和Corey的组合。这将是一场信息丰富的会议，解答您关于渗透测试计划的许多问题。

亮点

• 2:20 破除迷思：理解渗透测试员的真实角色和GRC的目标
  文本讨论了关于渗透测试员的误解，澄清了他们的角色，并解释了GRC在网络安全治理中的目标。

• 1:47 理解悖论：为何漏洞利用在高级安全措施下依然存在
  Verizon报告显示，14%的泄露事件利用漏洞作为初始访问手段，较去年增加了三倍。

• 3:12 修复在预防数据泄露中的作用：2024年Verizon报告的见解
  报告分析了2023年的数据泄露事件，强调了修复在解决漏洞和管理相关风险中的作用。

• 1:04 超越钓鱼：现代威胁的全面安全策略
  GRC必须超越渗透测试，解决安全政策和培训问题，包括高级钓鱼和AI驱动的威胁。

• 1:52 理解渗透测试在网络安全计划中的重要性
  讨论了构建渗透测试计划的动机、法规以及组织优先考虑渗透测试活动的原因。

• 2:15 平衡渗透测试优先级：GRC在网络保险和业务影响中的作用
  讨论了改善与网络保险承运人的关系、预算约束、GRC角色以及业务影响评估的重要性。

• 2:20 定期渗透测试对Web应用安全的重要性
  CISO强调对关键Web应用进行频繁渗透测试，倡导持续测试以迅速发现漏洞。

• 2:41 弥合差距：GRC与安全团队之间有效沟通渗透测试结果
  讨论了GRC与渗透测试员之间的沟通差距，以及与相关团队分享渗透测试结果的重要性。

• 3:07 渗透测试报告的有效修复和文档策略
  讨论了收到渗透测试报告后的步骤，强调了修复、优先级排序、调度、截止日期和记录例外情况。

• 1:48 渗透测试报告和安全团队支持的协作方法
  协作式渗透测试审查，解决报告理解问题，促进GRC与安全之间的团队合作，强调人员不足的挑战。

完整视频

[视频链接]

文字记录

Jason Blanchard
大家好，欢迎来到今天的Black Hills信息安全网络研讨会。我是Jason Blanchard，Black Hills的内容社区总监。如果您是第一次参加我们的网络研讨会，非常感谢您的加入。如果您是第50次参加，同样感谢您的参与。别忘了在Hack It中签到。

如果您正在观看录制内容，您可能不知道那是什么意思，没关系。未来，您可以在我们的网络研讨会期间加入Discord Live。我们很乐意您加入。那里有一个由50,000名信息安全专业人士组成的强大社区，随时回答问题，帮助您的职业生涯，确保您在这个行业中不感到孤独。

说到帮助我们回答问题并在这个行业中不感到孤独的人，今天我们请来了Corey和Kelly。他们将一起讨论为何您的组织需要渗透测试计划。如果您已经认为我们需要渗透测试计划，那么这将强化您的想法。如果您不确定是否需要渗透测试计划，那么这次研讨会将为您提供所需的信息，以便向领导层提出建议。

如果您有任何问题，请随时在Discord或Zoom中提问。我们将在研讨会结束时或期间尽最大努力进行问答，如果Corey和Kelly看到有趣的问题，他们会立即回应。

Kelly和Corey，你们准备好了吗？

Corey Ham
准备好了。

Jason Blanchard
好的，我将回到后台处理Hack It的事情，然后准备邮寄我们刚刚赠送的漫画书。感谢您今天加入我们并与社区分享您的知识。

Corey Ham
当然。谢谢Jason。Kelly和我在新闻期间相识，我们在BHIS有一个新闻播客，如果您不知道的话。我认为我们面对面交谈越多，越意识到我们彼此并不真正了解对方的工作，因为我对GRC并不太了解。

我不会对Kelly说同样的话，但我认为关于渗透测试员实际做什么或他们认为自己做什么 versus 实际做什么，总有更多需要学习的地方。因此，我们决定将GRC和渗透测试结合起来。

我们早期讨论的另一件事是，有些组织在渗透测试和使用结果方面做得很好，并能从中获得良好的结果，而其他组织则不然。显然，有时这基于成熟度或其他因素，但很多时候，它似乎与企业的任何其他属性无关。因此，我们真的想设定基准并解释如何进行渗透测试以及如何做好。

Kelly，这样准确吗？

Kelli Tarala
哦，我认为你说到点子上了。我们真正想关注的是合作。我们在新闻上有过一些非常愉快的时光，在某些事情上同意不同意，我们希望通过提供更多关于彼此做什么以及彼此不做什么的信息，来促进渗透测试员和GRC人员之间更好的关系。

谢谢你的精彩介绍，Corey。我很感激。我是Kelly Torala。如果您不认识我，我在Black Hills做GRC。是的，我帮助Black Hills的客户做GRC事情，可能包括政策审查、政策分析、建立风险管理计划、进行评估、风险评估等各种有趣的事情。

如果您不知道，我曾经在SANS编写课程材料。我为CIS控制措施做出贡献。Corey和我试图再次找到一些共同点。我们谈论了披萨。我特别喜欢黑橄榄配意大利辣香肠。

Corey，我想你对披萨有强烈的感觉，对吧？

Corey Ham
是的。谢谢Kelly。我的背景是渗透测试员。我现在实际上在BHIS负责持续渗透测试产品。因此，我有点演变成了中层经理。但十年来，我一直是一名渗透测试员。那是我的第一份工作。因此，我拥有渗透测试员关于事情如何完成以及为什么完成的所有狭隘视角。

因此，这次讨论的大部分内容将只是我问一些愚蠢的问题，而Kelly说，实际上，根本不是那样工作的。是的，我最喜欢的披萨是玛格丽特。我喜欢罗勒。保持简单。一些马苏里拉奶酪，一些奶酪，也许少放点奶酪，一些红酱，扔进去，就好了。

Kelli Tarala
好吧，我希望Discord中的人们也会输入他们最喜欢的披萨。我看到菠萝问题已经出现了。我们现在先放过这个问题怎么样？

Corey Ham
是的。分享您最喜欢的披萨。如果有人说了菠萝和黑橄榄，我会质疑它。但我也会说，让我看看您的订单历史。这张幻灯片和一个模因展示了Kelly和我在开始讨论渗透测试和GRC以及GRC做什么、不做什么时的感受。

我们就像在同一个房间里，等待，你做什么？为什么你要对我大喊大叫关于漏洞？为什么我必须修复这个？而且，我们觉得威胁行为者也在房间里，但我们真的不知道他们在做什么或没做什么。

渗透测试员倾向于从进攻的角度看问题，对吧？比如，这里可能发生在你身上的坏事。而GRC倾向于从防御的角度看问题。但我觉得我们就像在对峙，好吧，GRC，你们做什么？渗透测试，你们做什么？这就是我们的背景。

让我们进入一些误解。当我们浏览这张幻灯片时，让我们问问观众。在聊天中先输入。让我们做GRC。您认为GRC是什么？也许总结一下。不必超级技术性，但也许只是对您认为GRC做什么的小总结。

Kelli Tarala
所以，Corey，我要说但不会放在幻灯片上的是，GRC似乎有很多女性在其中。我很高兴在预演闲聊中看到Ashley，因为Ashley是我认识的少数从事渗透测试的女性之一。

很多女性喜欢GRC是有原因的。我会告诉你为什么。工作时间比渗透测试好。如果你在养家或试图养丈夫，这样更容易一些。

Corey Ham
有趣。我在Discord中看到一些有趣的，有人输入了安全团队中的成年人或安全部门的成年人。我觉得这很有趣且有点准确。对吧，Kelly？那有点接近真相。是的，人们也在那里输入他们的披萨。有人说规则，最好的工作。如果你不想在凌晨3点被叫醒。那个很有趣。

Kelli Tarala
哦，绝对。

Corey Ham
和你刚才说的匹配。让我们看看那里。有什么好的吗？Marshawn Lynch。我在这里只是为了不被解雇。安全政策和治理。有很多合规的事情。所以GRC代表治理、风险与合规。对吧。它实际代表的就是这个。

Kelli Tarala
确实是。我感谢我们的Discord观众。他们非常友善。但让我说出通常不会大声说出来的事情。GRC人不一定是有趣的人。他们是规则守护者，规则执行者。

有时人们从会计或审计来到GRC，他们非常黑白分明，甚至比渗透测试员更黑白分明。我们也被视为障碍。哦，天哪，我有这个项目要做，现在你要我回应评估。你要我更新政策。有时我们被 perceived 为阻止真正的工作完成。

此外，其他人认为GRC只是清单。哦，天哪，插入翻白眼 here。完成清单，我们就可以做真正的工作了。但我们将讨论为什么GRC确实是真正的工作。

但首先，Corey，让我们谈谈关于渗透测试的一些误解。

Corey Ham
是的，我们为GRC做了。让我们也为渗透测试员做。进入Discord，输入您认为渗透测试员是什么。我希望人们不那么友善，我们可以得到一些有趣的笑声。渗透测试员做什么？

Kelli Tarala
我的恐惧。我的恐惧是渗透测试员连续四、五、七天穿同样的衣服。

Corey Ham
有人说以破坏东西为生。那很有趣。我在看一些。这里有一些好的。戳东西直到它坏掉。确保墨水质量。那个有趣。有一个家伙用gif，全开测试那支笔。渗透测试员破坏我的东西。有一些有趣的假红队人员。他们是测试漏洞的超蓝队员。GRC指出那个很好。是的，我猜生成票证。

渗透测试员想象他们是摇滚明星。那很有趣。人们甚至现在说渗透测试员破坏东西。

Kelli Tarala
所以Corey。我记得Chris Trainer在预演闲聊中提到，他的妻子说他是渗透测试员，通常眉毛会扬起，他们不确定是否应该问更多问题还是就此打住。

Corey Ham
是的，我认为，作为10年职业生涯的渗透测试员，我从未告诉普通人我是渗透测试员。我只是说我从事计算机工作，就此打住。如果他们追问，我可能会说，哦，我闯入公司并告诉他们我是怎么做的，这样他们就不会被闯入。

Jason Blanchard
对。

Corey Ham
但我在野外不说渗透测试员。提出渗透这个词我认为对普通人来说不是好事。但是的，让我们回到幻灯片。我认为我们之前看到的大部分内容实际上是准确的。对吧。所以发现漏洞。但误解是渗透测试员发现一切，他们可以黑客任何东西。对吧？就像渗透测试员作为巫师的看法，你给他们世界上的任何东西，他们可以闯入，他们可以黑客它。

我们会讨论为什么那不是真的。而且渗透测试员穿着连帽衫在黑暗的房间里，一直聚会，猛喝Jolt colas或Mountain Dews或Red Bulls或其他什么，只是Jolt，在键盘上 grinding，不能带出光。如果我们接触草地，我们会枯萎死亡。是的，我认为双方都有有趣的误解，但让我们澄清误解，并讨论我们实际做什么或至少我们的目标是什么，不一定是日常。

那么GRC的目标是什么，Kelly？

Kelli Tarala
好吧，Corey，实际上我们正在做这张幻灯片。我和Black Hills的CJ讨论过这个。GRC真的很难用一句简短的话定义。但让我试着谈谈。真的，GRC有两个主要目标：为网络安全、隐私或数据治理计划建立基础。说，我们想做好的事情。那些好的事情是什么？我们将如何衡量自己？所以这是基础，也是我们讨论为什么想要渗透测试计划的基础。它如何融入您的GRC基础？

Corey，GRC的另一个方面，我喜欢认为是组织的护栏。我知道有些人对护栏这个词有不愉快的经历。他们在想，哦，天哪，那听起来很可怕。但如果你想想在山上开车时，你开着那辆你不太舒服的Penzi卡车，护栏告诉你如何保持在路上，远离危险，避免对卡车不好的事情。

所以我认为护栏是积极的东西。因此，GRC的主要目标是指导和组织所有网络安全活动，以 cohesive approach。所以我们知道为什么进行渗透测试，所以我们知道为什么进行漏洞管理。而且。是的。进行评估并保持政策更新。那么渗透测试的主要目标是什么？

Corey Ham
所以，我的意思是，与GRC不同，渗透测试员的工作我认为很简单，对吧？只是。执行方式可能复杂，但渗透测试的目标是发现漏洞。发现漏洞。这真的是渗透测试员的一个 track mind。我认为渗透测试员的真正角色是使这些漏洞也可消化和可操作。对吧。就像有很多，渗透测试员和黑帽黑客之间的区别在于渗透测试员写报告，对吧？

所以最终，我们的目标是发现漏洞，但我们 kind of 秘密目标是使这些漏洞易于发现、易于理解，并希望易于修复或至少 awareness 这些漏洞存在。

Kelli Tarala
所以我很高兴你这么说。不仅仅是发现漏洞，而是以其他人可以理解的方式呈现它们。如果是技术性很强的观众，如果是技术性较弱的观众，可能是商业领导甚至GRC人员，他们可能知道漏洞的四分之三，但可能不知道全貌，我真的很感激Corey。那是很好的解释。

Corey Ham
到目前为止我们一直很积极，但让我们消极一点。那么为什么GRC和渗透测试应该成为朋友？为什么我们关心为什么？我们已经有了渗透测试计划，它运行良好。所以让我们行业范围内设定基准。这是来自Verizon数据泄露报告，该报告分析了全年发生的数千起数据泄露事件。它已经进行了多年。因此，它是关于泄露为何发生、如何发生的行业标准指南。

这是该报告的一个统计数字。所以去年。这是2023年或抱歉，2024年。14%的泄露事件涉及利用漏洞作为内部访问步骤，是前一年的三倍。所以 essentially 从我的视角。再说一遍，14。14%的泄露事件涉及利用漏洞作为初始访问步骤，是去年的3倍。

所以 essentially 从我的视角，如果GRC和渗透测试做得好，这个统计数字应该是不可能的。我们 whole thing 是我们发现漏洞，您努力修复或缓解或控制它们。因此，如果我们 properly 做这些事情，不应该有因可利用漏洞导致的泄露增加。对吧。那很糟糕。

Kelli Tarala
Corey，我欣赏你刚才说的。你能重申一下吗，我们关心的不是14%，而是三倍的数量。

Corey Ham
exactly。您会期望这个数字趋势下降。对吧？我们有漏洞管理计划，扫描器很好，我们有持续扫描，我们有所有这些技术解决方案和代码审计，工具比以往任何时候都好。您会认为成熟度在上升，但事实并非如此。或者至少根据Verizon数据泄露报告，漏洞仍在被利用。对吧。所以让我们，我们确实有一些为什么的例子。所以让我们讨论为什么。这进入了一点关于相关性与因果关系的讨论。Verizon数据泄露报告纯粹是数字上的。它说在我们跟踪的数据泄露中，这些是原因。

所以一些为什么可能的例子。一个是修复。对吧？也许有一个漏洞被发现。是的，人们说，是的，这是2024年报告。所以这是基于2023年的数据，所以还没有2025年报告。但基本上修复是其中的一个组成部分。也许渗透测试员发现了一个漏洞，但没有及时修复，然后被利用了。所以这是一个可能的原因，我猜，Kelly，GRC在修复中扮演角色，对吧？

Kelli Tarala
哦，当然。所以，修复是一个大词。听起来，听起来有点吓人。但实际上它意味着修复东西。它意味着降低风险。很多时候我们会看到一个漏洞，房间里会有某些 hotheads 说，我们需要立即修复它。然后有时GRC人员甚至业务部门人员会说，听着，我们需要计划这个，因为它是我们的生产系统。我们需要关闭它。我们需要了解如果应用这个修复到漏洞的风险是什么。如果我们将生产系统关闭，我们会损失多少收入？

所以，GRC所做的是它 kind of 包裹修复那个漏洞，并考虑合规问题。如果你在受监管的空间，你可能无法在特定窗口内修复那个漏洞。你可能需要等待30天。你可能需要提交报告或请求修复那个漏洞。其次，我们倾向于看风险。而那些修复漏洞的人，通常在技术团队、安全团队、漏洞管理团队，理解比特和字节，他们可能不完全理解如果我们修复或不修复那个漏洞可能对业务产生的全面风险。

但Corey，让我们直截了当一下。有些漏洞很难修复。它们运行的生产系统感觉像是用绳子和锡罐 held together。其次，漏洞可能很难修复，因为业务部门不会安排停机时间。你看到组织可能不修复漏洞的其他原因吗？

Corey Ham
我的意思是，我认为，从我的视角，渗透测试在所有这些中的工作是向GRC团队或其他人报告风险，基本上说，您需要尽快修复这个。我认为如果渗透测试在这方面失败了一件事，那就是也许报告这些漏洞的人没有在使其他所有人 aware 的背景下这样做。它们可能导致数据泄露的事实。对吧。所以我认为显然我们在这里推测这个数字是什么。但从我的视角作为渗透测试员，我们的工作是，当我们鼓励修复时，同时解释影响。所以让我们，这个数字可能上升的另一个原因是缺乏可见性。所以也许组织被利用并有数据泄露，他们甚至不知道自己是脆弱的。

现在可能有多种原因，但我认为如果他们没有一个很好的渗透测试计划，他们可能只是没有进行渗透测试，不知道漏洞存在。或者可能超越渗透测试。可能是漏洞管理扫描。如果您没有进行定期安全扫描和渗透测试，您甚至不会知道自己在被利用之前是脆弱的。 Which，我们在这里推测。但我怀疑在非， significant 数量的情况下，组织被利用了他们甚至不知道存在的漏洞。所以我认为那是，GRC的工作是说，嘿 guys，我们不知道，对吧？嘿，我们不知道我们的情况，我们容易受到什么攻击。是那样，是那样工作的吗，Kelly？

Kelli Tarala
好吧，Corey，我，我要借题发挥一下，说有很多噪音，尤其是在漏洞管理系统方面。如果我在看，我要求一份报告，好吧，我们有什么？哪些漏洞正在处理中？哪些有高、中或低指定？它们的风险评级是什么？许多组织有2到300个中等级别漏洞。老实说，GRC人员很难说，好吧，200个漏洞正常吗？那不正常吗？有时我们缺乏清晰度来说这个特定漏洞。我看到人们谈论 move it 问题，那应该被突出显示，应该用红色标出，周围应该有闪烁的灯光，说，听着，这是我们目前最高风险、最风险的漏洞，需要立即