渗透测试后的关键行动指南

Scott Worden* //
你和公司刚完成渗透测试…接下来该怎么办？需要采取哪些行动、如何规划，以及保持进度的有效方法。

渗透测试的三个阶段

• 测试方
• 被测试方

测试成功≠失败

渗透测试人员获取核心资产权限、取得root控制权或实现全面掌控（无论使用何种术语描述）并不代表失败。渗透测试的核心目的是发现漏洞以促进改进。除非出现以下两种情况，否则不存在「未通过渗透测试」：1）人为插入防护措施或对测试人员采取差异化响应；2）同一可修复问题在多次测试中重复出现。

测试完成后的行动步骤

如果进行渗透测试仅为满足合规要求或形式主义，那么工作已结束——这无异于继续逃避问题（尽管最终仍需面对）。如果测试报告显示零发现，需反思：这是真正的渗透测试还是漏洞评估？测试人员是否专业？是否允许真实环境测试？若答案全为肯定，请联系笔者，因贵方经验值得深入学习。

对多数企业而言，现在需要停止抱怨、放下饮料并开始工作。以下建议基于个人经验与实践总结，可能不完全符合您的场景，但期望能提取有价值的信息。

1. 研读测试报告

渗透测试旨在改进，因此报告需具备可操作性。您是否理解所有发现？能否复现问题？若否，应联系测试方。对方无需透露核心技术（这是付费服务的原因），但应提供基础方法以便您在环境中部分复现问题。

2. 制定修复计划

下一步是制定计划。多数执行者倾向于直接实施修改，但需确保不偏离三大目标：响应所有发现、提升安全性、维持系统可用性。有时自认完美的防护方案可能阻碍业务运行。

对于已知修复方法的发现，计划应包含预防（如可行）与检测措施；不确定解决方案时，需研究并制定缓解计划。每个发现都应有优先级规划，分配负责人与截止时间。切勿因阻断单一入侵途径而满足——任何防护措施都可能被攻击者及测试人员绕过。最后，将计划纳入工作追踪系统以确保执行。还记得「未通过测试」的条件吗？

3. 争取支持并实施变更

拥有计划后，是否立即执行？需考虑时间资源、跨团队协作及业务影响。需要管理层、受影响方和实施者的共同支持。有效方法是展示测试结果：向管理层提交报告，向技术人员逐步演示测试过程（如令牌获取、横向移动等）。演示比报告更具说服力。尽管有些企业倾向隐藏漏洞以维持安全表象，但向相关方展示发现的收益远大于风险。此类演示常能获得意想不到的支持。让更多人关注安全改进会使您的工作更轻松（或更复杂）。

演示虽是挑战，却是展示能力、获取支持并激发安全兴趣的机会。专注自身擅长领域，诚实对待未知问题并后续跟进。

4. 从小处着手实现大目标

某些计划可能因工作量大、资源需求高或业务影响大而遭遇阻力。解决方案是将计划拆分为更易执行的小任务。无法全面修改密码长度？可先处理关键账户（您确实识别了它们，对吗？）、IT系统或安全团队（以身作则！）。推行多因素认证？同样从关键场景开始，逐步扩展。每次成功实施会减少阻力。一旦启动，务必持续进展。

5. 保持专注避免分心

在安全领域，「分心效应」尤为显著：总有新警报、紧急任务、新型恶意软件或闪亮工具出现。容易忽视看似不重要的事务并假设他人处理。应主动承担责任，推动问题解决。无法防护？则检测。无法检测？确保可见性以便追踪。无法获取可见性？将其列入未来复查清单。安全与技术环境持续变化，新方法可能很快出现。

总结

*Scott为客座博主，任职于中西部某企业的安全工程师，几乎集满参加BHIS网络研讨会的打卡记录。