从渗透测试报告中真正应该学到什么

达科塔·纳尔逊

未知的未知

你刚刚完成了渗透测试。恭喜！虽然可能感觉不太像，但这最终会让你对自己的安全性更有信心，而不是更少。真正的问题是——为什么可能感觉不太像？渗透测试发现可以以多种方式分解，当然最明显的是按严重程度——但我想提出另一个类别：信息价值，或者更直接的说法，惊喜。

当你第一次阅读渗透测试报告时，很有可能会出现一些你意想不到的内容——你完全不知道存在或构成如此严重问题的漏洞或错误配置。这是令人惊讶的，而你的大脑并不总是喜欢惊喜——但在这种情况下，惊喜是好事。惊喜是，正如拉姆斯菲尔德所说，将未知变为已知的过程。

不过，惊喜的程度仍然不同，我提出的信息价值也可以看作是在你通过报告了解到之前，这些发现在拉姆斯菲尔德矩阵中处于哪个框。

第一种情况是你对这些漏洞已经有所察觉。例如，假设你有一个外部面向的服务器，你从未扫描过，但怀疑可能不安全。在这个服务器上发现漏洞可能会将其从"已知的未知"变为"已知的已知"。这很有用！但是——这仍然是你可能自己通过漏洞扫描器之类的东西就能做到的，因为你知道该在哪里查找。当已知的未知变为已知的已知时，通常不会非常令人惊讶。

另一方面，还有一些真正令人惊讶的发现——那些你没想到会出现的问题。我认为，这正是渗透测试的真正价值所在。收到一份报告说"你所有的Windows XP机器都不受支持"可能对你来说并不是特别有用，因为得知XP不受支持并不令人惊讶（至少，我希望不是），而且这些机器仍然运行可能有一些业务原因。这份报告在向管理层汇报以试图说服他们最终淘汰XP机器时可能有用，但这种价值通常是有限的。另一方面，一份报告说"我们能够使用RDP跳转到一个你不知道存在的服务器，然后从那里使用mimikatz提升到域管理员权限"可能会真正令人震惊——因此，极其有价值！

这并不是说只有极其复杂的发现才作为未知的未知存在——这完全取决于蓝队在测试前知道什么。对一些公司来说，发现你的服务器因为未打补丁而存在漏洞可能相当令人惊讶，而其他公司可能网络锁定得非常好，只有极其先进的技术才会让他们感到惊讶。这没关系！每家公司都处于不同的位置，无论你从哪里开始，只要测试将事情移入已知的已知框，它最终都会降低你的风险。

当你考虑进行测试或评估结果时，花一两分钟思考一下你知道自己不知道什么，以及如何在渗透测试的帮助下找出你不知道自己不知道的东西。给你的测试人员一个狭窄的范围以避免惊喜是好的，但是——尽管不愉快——也许惊喜毕竟并不那么糟糕。

准备好了解更多？
通过Antisyphon的实惠课程提升你的技能！
随你付费培训
提供直播/虚拟和点播形式