众包渗透测试:理解风险,做出更明智的决策
众包渗透测试 vs. 漏洞赏金:众包渗透测试是一种有明确时间范围、结构化的测试,旨在生成合规报告,成本固定。漏洞赏金则是持续、开放式的漏洞发现活动,按发现的有效漏洞支付报酬。
降低关键风险:注意研究员审核不严、潜在的不良行为者数据暴露/窃取,以及由全球承包商参与带来的劳工分类错误风险。
选择要点:要求严格的身份验证、经过确认的 CREST 认证报告,以及确保公平劳工标准的道德采购政策。
众包渗透测试通过利用分布式的安全测试人员池,承诺提供广泛的覆盖范围、灵活的资源调配和成本效益。 Trustwave(LevelBlue旗下公司)认识到,并非每个组织都有财务资源与拥有专门渗透测试能力的安全公司合作。同时,我们希望让组织了解众包渗透测试市场中的许多陷阱,并提供一些选择合适供应商的建议。 虽然众包渗透测试的好处是真实的,但这种特定测试方式带来的风险也同样真实。这些风险可能包括虚假测试机构、税务影响,甚至是道德采购问题。 为了更好地理解众包服务是如何交付的,让我们看看谁在做这项工作、对你的组织存在的数据和操作风险,以及你可以使用的实用控制措施,以做出明智的采购和治理决策。
定义众包渗透测试
这个术语本身并不广为人知,为了便于理解,我们可以将其视为漏洞赏金计划的近亲,但请记住,虽然相似之处很明显,但差异也可能相当显著。 漏洞赏金计划主要关注持续性的漏洞发现,旨在无限期或持续运行,以实现持续的风险降低。它通常具有广泛且开放的范围,常常覆盖所有面向公众的资产。由于“黑客”采用自由发挥和非结构化的方法,组织可以从大量多样化的测试人员群体中受益。 其财务模式是按结果付费,意味着公司只为找到的有效、独特的漏洞支付赏金,这使得总成本难以预测。主要产出是一系列经过验证的漏洞报告和安全指标。 相比之下,众包渗透测试旨在进行结构化的、有时间限制的评估,以满足合规需求或测试新功能。这些参与活动是限时的,持续特定时间段,并在测试开始前定义的特定受控范围内进行。 测试人员是经过精心挑选、严格审查的较小专家团队,他们遵循结构化和方法论驱动的方法。这会生成一份全面的最终报告,非常适合满足合规要求(如 SOC 2 或 PCI DSS)。成本通常是固定费用或混合模式,提供更可预测的预算。 公司在希望根除低风险活动,或进行外部测试(即不让渗透测试人员进入内部)时,应考虑众包渗透测试。此外,价格也起着作用。众包渗透测试往往成本较低。
众包渗透测试服务的交付方式
与漏洞赏金计划类似,大多数众包测试通过中介平台交付,该平台协调测试人员、确定参与范围并汇总结果。 平台的运作方式差异很大:有些主要是市场(将买家与个体测试人员联系起来),有些则交付托管程序(包括审查、分类、报告和测试后修复支持)。 影响你风险状况的关键差异包括:
- 平台是集中管理身份和审查,还是留给买家。
- 平台如何处理披露、分类和修复工作流程。
- 合同关系:直接雇佣测试人员 vs. 与平台即服务提供商签约。
全球资源与区域资源的利弊
使用全球测试人员可以扩大规模并带来专业技能(对利基技术有用),但会提高监管、法律和供应链风险(出口管制、跨境数据流动、不同的劳动法)。区域资源可能提供更强的法律追索权、更容易的背景调查以及文化/情境优势——但人才库较小,成本可能更高。
谁在做这项工作——审查与信任
资源审查 并非所有测试人员都是平等的,适当的审查程序对于获得良好结果和保护组织至关重要。有效的审查应包括:
- 身份验证(文件检查、双重身份验证)。
- 在适当且合法的情况下进行刑事/警方背景调查。
- 技能验证(CREST挑战任务等证书、过往项目历史)。
- 声誉指标(平台评级、同行认可、以前发表的研究)。
确保测试人员身份真实 开放人群的一个主要风险是冒名顶替和虚假身份。审查不严可能让犯罪分子或欺诈者参与并获得访问你系统的权限。这可能包括让国家支持的行为者或恶意行为者利用测试访问作为掩护。 风险场景:不良行为者通过了设计不佳且执行不力的审查流程,被授予范围访问权限,随后在测试的幌子下窃取数据或建立持久性。
潜在的对工人的剥削 众包模式可能带来劳工风险,不仅使你的组织面临法律问题,也涉及道德问题。
- 税收和养老金风险:工人是作为承包商还是雇员聘用的?分类错误的风险可能为平台或买家带来责任。
- 现代奴隶制/工人保护:某些平台可能从劳工保护较差的司法管辖区招募测试人员;你应该考虑是否涉及工作条件或胁迫性做法。
- 道德采购:应包括要求平台遵守劳工标准并提供关于其工人参与模式的透明度的条款。
安全运营中心在测试期间的麻痹大意
需要注意的一个问题是安全运营中心的麻痹大意。如果你的 SOC 将众包测试视为受控演习,真正的敌对活动可能会被忽视,或者相反,测试人员可能被误认为是敌对者。这两种结果都会降低程序价值并增加风险。
交付成果的质量
众包测试的结果可能从单行的“类似漏洞赏金”报告到记录详尽的漏洞利用链和修复建议不等。请确保在任何合同中明确说明测试结束时你希望得到的结果。 安排测试时需要避免三个常见问题:
- 重复或低价值的发现(噪音)。
- 难以复现或记录不充分的问题。
- 过于笼统的修复建议。
渗透测试人员的技能水平
众包在广度方面表现出色(许多扫描器和测试人员同时运行测试),但并非所有平台都保证深度。如果你需要高级的对手模拟,请确认所需的技能水平并提供过往工作的样本。 请记住,以下两者存在区别:
- 脚本化漏洞扫描(自动化,定制技能要求低)
- 专业化的攻击性安全专家(手动利用,创造性攻击路径)
获得最佳可能结果
同行评审或分类流程能显著提高输出质量。寻找具有以下特点的平台:
- 在交付前对提交内容进行分类和验证。
- 为复杂发现提供同行评审或第二意见机制。
- 提供托管式的修复跟踪流程。
关键在于不要把众包当作黑匣子:坚持严格的审查、明确的合同保护、最大限度减少暴露的技术控制,以及保持 SOC 有效性的操作流程。 当你将这些控制措施与合理的范围界定和人工分类相结合时,众包测试就变成了一个强大的发现引擎——而非不受管理的风险。
总结
为了降低风险并为组织提供最大价值,请关注你提议的渗透测试供应商的过往记录,包括:
- 供应商的传承,他们是否致力于你的安全?
- 独立参考,虽然组织之间会签订保密协议,但大多数组织应该能够在合同执行前安排与客户的通话。
- 行业认证,CREST 是一个很好的例子,可以让你确信所聘请的用于测试和保护系统的网络安全公司是信誉良好且能力出众的。
- 索取与你所需范围一致的、经过编辑的示例报告,提前了解你将收到的成果质量。
最后,如果这里提出的任何一点让你有所顾虑,请记住 Trustwave SpiderLabs 拥有专门的渗透测试团队,他们在进行高效测试方面拥有悠久历史,将提升你的安全性。
(免责声明) 此处提供的内容仅供一般信息参考,不应解释为法律、监管、合规或网络安全建议。组织应咨询其自身的法律、合规或网络安全专业人士,以了解具体的义务和风险管理策略。虽然 LevelBlue 的托管威胁检测与响应解决方案旨在支持终端层面的威胁检测与响应,但它们不能替代全面的网络监控、漏洞管理或完整的网络安全计划。