渗透测试后的行动指南

Scott Worden* //
你和公司刚完成渗透测试……接下来该怎么办？本文介绍具体操作步骤、规划方法以及保持进度的实用技巧。

渗透测试的三个阶段

• 测试方
• 被测试方

渗透测试人员获取核心资产权限、取得root控制、实现全面掌控（无论使用何种术语描述）并不算失败。渗透测试的核心目的是发现脆弱点以促进改进。除了两种特殊情况外，渗透测试不存在失败：如果人为设置防护措施或对测试人员采取差异化应对，则视为失败；如果同一可修复问题在多次测试中重复出现，则视为失败。

渗透测试完成后该做什么？

如果进行渗透测试仅为满足合规要求或形式需要，那么任务已完成（尽管最终问题仍会暴露）。如果测试未发现任何问题，需要反思：是否进行了真正的渗透测试？测试人员是否专业？是否允许他们进行真实环境测试？若答案全部肯定，请联系笔者——笔者需要向您学习。

对于其他情况，是时候停止抱怨，放下饮料开始工作了。以下建议基于个人经验与实践总结，可能不完全符合您的场景，但希望您能从中提取有价值的内容。

研读测试报告

渗透测试旨在改进，因此报告需要具备可操作性。您是否理解发现的问题？能否复现问题？若不能，请联系测试人员。他们无需透露核心技术（这是付费服务的原因），但应提供基础信息帮助您在自己的环境中部分复现问题。

制定修复计划

下一步是制定计划。多数人倾向于立即实施修改，这并无不妥，但需确保不偏离核心目标：应对所有发现、提升安全性、维持系统可用性。有时自认为完美的防护方案可能会阻碍业务正常运行。

对于已知修复方法的问题，计划应包含预防（如可能）和检测措施。若不确定修复方案，则需要研究制定缓解计划。每个发现都应设定优先级，尽可能分配负责人和截止日期。切勿满足于单一修复（例如“既然封锁了入侵途径就万事大吉”），任何防护措施都可能被攻击者和测试人员绕过。最后，将计划和任务纳入工作跟踪系统以确保落实。还记得渗透测试失败的判定条件吗？

计划就绪后实施变更

计划制定完成后，是否立即实施变更？未必。您是否有时间处理？是否需要其他团队资源？是否存在业务影响？需要获得管理层、直接影响方和实施人员的支持。有效的方法是展示渗透测试结果：对管理层可提交报告，对技术人员则需演示测试人员的操作步骤，展示其如何轻松获取令牌、横向移动等。演示比报告更能让技术人员理解。有些公司可能不愿暴露缺陷，但展示发现给相关人员获得的收益远大于风险。此类演示常能获得意想不到的支持度。让更多人关注公司安全建设会使您的工作更轻松（或更复杂）。

您可能不喜欢演讲，但这是展示能力、获取支持并激发安全兴趣的机会。讲解自己擅长（且应该热爱）的内容可能会带来意外惊喜。但务必实事求是，承认未知并后续反馈。

从小处着手实现大目标

现在可以开始实施变更了吗？可能仍需要谨慎。有些计划需要大量工作和资源，或对业务产生重大影响，导致管理层或其他团队犹豫。解决方法是将计划拆分为更易执行的小任务。无法修改所有密码长度？能否先处理关键账户（您确实识别了关键账户，对吗？）、信息系统或安全团队（以身作则！）？尝试实施多因素认证？同样从小范围开始，先在关键场景实施再逐步扩展。每次成功实施都会减少阻力。无论如何，一旦启动就要持续推动，不可半途而废。

警惕注意力分散

保持持续跟进至关重要。安全领域最容易出现“松鼠效应”（注意力分散）。总会有新的警报、紧急任务、新型恶意软件或闪亮工具出现。容易让不感兴趣的任务滑落并假设他人会处理。主动承担责任，牵头推动问题缓解。无法完全防护？实施检测。无法检测？确保具备可见性以便追踪。无法获得可见性？将其列入未来复查清单。安全和技术环境不断变化，新的解决方案可能很快出现。

您能胜任！

渗透测试可能令人沮丧，但请牢记其目的：提升整体安全成熟度。为实现该目标，必须对所有发现做出响应并跟进落实。当下次测试来临时，将发现视为挑战并努力击败测试人员。只是别掷出一点（喻指避免最低失误）。

*Scott是来自未公开公司的客座博主，作为安全工程师在中西部工作，几乎参加过所有BHIS网络研讨会。