粉队测试：渗透测试的稀释化现象

John Strand //

过去一年左右，在会议和聚会上，关于渗透测试有效性的讨论时有发生。计算机安全领域有许多即将对整个行业产生颠覆性影响的事物。在很大程度上，这些变化对行业是有益的。其中之一是漏洞赏金计划的兴起。这些计划是指组织雇佣一组相对不知名的测试人员来测试公司资源。我亲眼见过结果，它们可能非常出色。它们有自身的局限性和优势，但这是另一个博客的话题。

相反，我想关注的是我们在BHIS越来越多看到的一种现象：渗透测试的稳步稀释。内部我们称之为粉队测试。

粉队测试是指红队测试的最佳意图被稀释的情况。大多数时候，与我们合作的组织中的直接技术联系人有着绝对最好的意图。他们希望真正测试其组织检测和应对高级威胁的能力。但随后，测试开始被稀释。管理层和法律的限制开始悄悄介入。有时，基于FCC或HIPAA的担忧，这些关切是非常合理的。任何测试都会有一定程度的限制，我们预期这一点，因为这是在该领域开展业务的一部分。但今天我想讨论的是，当限制与测试完全不符时的情况。相反，它们近乎荒谬。

例如，以下是我们过去几个月处理的一些情况：

• 客户主动监视测试IP地址（应其要求提供），然后在看到来自这些地址的任何流量时立即主动阻止它们。
• 客户实时监视被利用的系统，并在我们使用cmd.exe和PowerShell时主动禁用它们。
• 将大量电子邮件地址设置为网络钓鱼“禁區”，因为它们属于组织中的重要人物。
• 在我们利用系统后立即停止测试，然后花一周时间让我们重新开始……因为他们认为我们无法进入，而当我们进入时，他们不知道该怎么办。
• 让一组人员授权我们打算利用的每个系统。然后，禁止对最可能的目标进行利用。

我写下这些并不是为了取笑客户，而是想探讨为什么会发生这种情况以及如何在您的组织中处理它。

首先要理解的是，这些问题从根本上是由缺乏理解驱动的。虽然我们的直接联系人几乎总是理解测试将如何工作，但与他们合作的人可能不理解。处理这一问题的最佳方法是设置午餐学习会，您可以逐步讲解测试期间会发生什么。我们经常为系统管理员和开发人员举办网络研讨会，解释如何从他们的环境中移除低挂果实。我经常与客户的高层管理人员开会，逐步讲解我们在做什么以及为什么这样做。同样重要的是要清楚地解释，未经测试的路径将被攻击。这只是时间和训练的问题。

我以谈话为生。为SANS教学让我接触了成千上万的学生，其中一些带有敌意。我不容易慌乱，通常能在不到一小时内传达我的观点。我也有那种“局外人”的优势。很多时候，我说的话与我的技术联系人多年来对管理层说的完全相同。但因为我是来自组织外部，有时仅凭这一点，管理层就会倾听。

以上原因是为什么您需要在对话和便当会议中保持持续。不要期望信任和理解在一次一小时的会议中突然出现——信任是随着时间的推移建立的。至少每月提供这些会议和会话。一段时间后，您将在组织内建立信任和对安全与测试的基本理解。更重要的是，他们会开始更加信任您。这是对抗测试目标稀释的最佳防御。

想要提升技能并直接向John学习更多？您可以在下面查看他的课程！

• SOC核心技能
• 主动防御与网络欺骗
• 通过BHIS和MITRE ATT&CK入门安全
• 渗透测试入门

提供实时/虚拟和点播形式。