渗透测试后的行动指南:如何有效处理测试结果

本文详细介绍了渗透测试完成后企业应采取的步骤,包括理解报告、制定修复计划、获取管理层支持及持续改进安全措施,帮助组织将测试结果转化为实际安全提升。

渗透测试后的行动指南

Scott Worden* //
你和你的公司完成了渗透测试……接下来该做什么?该采取哪些行动、如何规划,以及如何保持专注的有效方法。

渗透测试的三个阶段

  • 测试者
  • 被测试者

渗透测试者获取到你的核心资产、获得 root 权限、控制你的系统,无论你用什么术语描述,这不是失败。渗透测试的目的是发现你的漏洞以便改进。除了两种情况外,没有“失败”的渗透测试:如果你人为插入防护措施或以不同方式应对测试者,你失败了;如果同一个可修复的问题在多次渗透测试中出现,你失败了。

你的渗透测试已完成,现在怎么办?

如果你进行渗透测试只是为了满足合规要求或声称已完成测试,那么你的任务就结束了——继续把头埋进沙子里吧(尽管最终它必须、也将会从另一边出来)。如果你的渗透测试没有发现任何问题,那么你进行的是真正的渗透测试还是漏洞评估?执行测试的人员是否合格?你是否允许他们进行真实的测试?如果所有答案都是肯定的,请联系我,我有太多需要向你学习的地方。

对于我们其他人来说,是时候停止抱怨,放下手中的饮料,开始工作了。以下内容基于我自己的经验、所见以及对我有效的方法。它可能不完全符合你的场景、我所在公司的观点或与我共事的人的意见,但希望你能从中提取一些智慧。

阅读报告

既然渗透测试的目的是改进,报告必须具有可操作性。你理解发现的问题吗?你能重现它们吗?如果不能,联系测试者。他们不必透露他们的“秘方”——你付费让他们做他们该做的事是有原因的——但他们应该愿意分享基础知识,以便你至少能在自己的环境中部分重现问题。

制定计划

下一步是制定计划。你们中的大多数人可能是执行者,想直接开始进行更改。只要你不忘记更大的目标:对所有发现的问题做出反应、提高安全性并保持系统可用,这样做没有问题。你可能有一个很好的想法来防止某种技术,结果却发现它也阻止了业务开展工作。

对于你知道如何缓解的发现,计划很简单:如何预防(如果可能)和检测。如果你不确定如何缓解某个发现,那么计划是基于此进行研究以制定缓解计划。简单。每个发现都应有一个计划,设定优先级,如果可能,分配给某人并设定截止日期。不要只缓解一个发现就认为“好了,既然我阻止了他们进入的方式,我们就安全了”。任何单一的预防技术都会被恶意行为者以及渗透测试者绕过。最后,将计划和任务放入<在此插入你的工作跟踪机制>,以便跟踪确保它们完成。还记得渗透测试失败的方式之一吗?

制定计划后,开始进行更改

很好,你有了计划,是时候开始进行更改了……嗯,也许还不是。你有时间处理它们吗?你需要其他团队的资源吗?是否有业务影响?你需要管理层、直接受影响的人以及将实施更改的人的支持。有效的方法是展示渗透测试结果。对于管理层,可能只是报告。对于更技术性的人员,逐步讲解渗透测试者做了什么。展示步骤,以及渗透测试者收集令牌、在环境中移动等是多么容易。这对技术人员来说比仅仅一份报告更有意义。最终,演示胜过千言万语。一些公司可能对展示其缺陷和漏洞感到担忧;即,想隐藏发现以显得更安全。在我看来,向受影响的人或能帮助你修复的人展示发现所带来的好处远远超过风险。这类演示在我工作的地方如何获得兴趣和支持,真是令人惊讶。让更多人对你公司的安全改进感兴趣,你的工作就会越容易(或困难得多)。

你可能不喜欢演示,很少有人喜欢,但这是你发光的机会,获得对发现的支持,并尝试让人们安全感兴趣。你将演示你(应该且希望)喜欢的东西。你可能会惊讶并享受这种体验。但要注意,不要吹牛。他们会知道。如果你不知道某事,就说出来,然后回头再告诉他们。

从小处着手,实现大目标

很好,现在你可以开始进行更改了……嗯,也许还不是。可能有些计划需要大量工作和资源,或对业务产生重大影响,导致管理层或其他团队不愿实施。处理这种情况的一种方法是将计划分解为更小、更可操作的任务。无法更改所有密码的长度?那关键密码呢(你知道它们,对吗?),IS,或只是安全团队(自己先尝狗粮!)?尝试实施 MFA?同样,从小处着手,仅针对关键场景实施,然后在此基础上构建成功。每次成功实施后,犹豫应该减少。无论你做什么,一旦开始,就要持续取得进展,不要让它停滞。

那是只松鼠吗?!

不让事情停滞是至关重要的。我发现安全领域在松鼠效应方面是最糟糕的。总是有另一个警报、下一个超级关键紧急任务、下一个创意命名的恶意软件或新的闪亮工具。很容易让你觉得不那么有趣的事情溜走,并假设它们会被其他人处理。站出来,承担责任,并领导尽可能缓解这些项目。无法缓解某事?检测它。无法检测它?确保你有可见性,以便可以狩猎它。无法获得可见性?确保它在未来的审查列表中。我们都知道安全和计算机世界中的事情会变化,新方法可能在不久的将来可用。

你能做到!

渗透测试可能非常令人沮丧和沮丧。尽量记住目的:改进和成熟你的整体安全。为了实现这一目的,你必须通过反应和跟进所有发现来做你的部分。所以,当你有下一次渗透测试时,拥抱发现作为挑战,并努力下次击败渗透测试者。只是不要掷出一点。

*Scott 是一位来自未披露公司的客座博主。他在中西部某地担任安全工程师,并且几乎填满了参加 BHIS 网络研讨会的打卡卡。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次