从渗透测试报告中真正应该学到什么

达科塔·纳尔逊 //

未知的未知

你刚刚完成了渗透测试。恭喜！虽然可能感觉不太明显，但这最终会让你对自身的安全状况更有信心，而不是更少。真正的问题是——为什么可能感觉不明显？渗透测试的发现可以从多个角度分析，当然最明显的是按严重程度分类——但我想提出另一个类别：信息价值，或者更直接的说法，惊喜。

当你第一次阅读渗透测试报告时，很有可能会发现一些你意想不到的内容——你根本不知道存在或构成如此严重问题的漏洞或错误配置。这令人惊讶，而你的大脑并不总是喜欢惊喜——但在这种情况下，惊喜是好事。惊喜是，正如拉姆斯菲尔德所说，将未知转化为已知的过程。

不过，惊喜的程度仍然不同，而我提出的信息价值也可以看作是在你通过报告了解到这些发现之前，它们在拉姆斯菲尔德矩阵中处于哪个象限。

第一种可能是你已经对这些漏洞有所察觉。例如，你有一台对外暴露的服务器，你从未扫描过它，但怀疑它可能不安全。在这台服务器上发现漏洞可能会将其从“已知的未知”转化为“已知的已知”。这很有用！但是——这仍然是你可能自己通过漏洞扫描器或类似工具完成的事情，因为你知道在哪里查找。当“已知的未知”变成“已知的已知”时，通常不会非常令人惊讶。

另一方面，还有一些真正令人惊讶的发现——那些你没想到会出现的漏洞。我认为，这才是渗透测试的真正价值所在。收到一份报告说“你所有的 Windows XP 设备都不受支持”可能对你没有太大用处，因为得知 XP 不受支持并不令人惊讶（至少，我希望如此），而且这些机器仍然运行可能有一些业务原因。这份报告在向管理层汇报以试图说服他们最终淘汰 XP 机器时可能有用，但这种价值通常是有限的。另一方面，一份报告说“我们能够通过 RDP 跳转到一台你都不知道存在的服务器，然后使用 mimikatz 从那里提升到域管理员权限”可能会让你真正震惊——因此，极其有价值！

这并不是说只有极其复杂的发现才属于“未知的未知”——这完全取决于蓝队在测试前知道什么。对一些公司来说，发现服务器因为未打补丁而存在漏洞可能相当令人惊讶，而其他公司可能网络防护得如此严密，只有极其高级的技术才会让他们感到惊讶。这没关系！每家公司的情况不同，无论你从哪里开始，只要测试将事情转化为“已知的已知”，它最终都会降低你的风险。

当你考虑进行测试或评估结果时，花一两分钟思考一下你知道自己不知道什么，以及如何借助渗透测试找出你不知道自己不知道的东西。给测试人员一个狭窄的范围以避免惊喜是好事，但是——尽管令人不快——也许惊喜毕竟并不那么糟糕。