粉队测试：渗透测试的稀释化

John Strand //

在过去一年左右的时间里，会议和聚会上有一些关于渗透测试有效性的讨论。计算机安全领域有许多即将对整个行业产生颠覆性影响的事物，而且很大程度上这些变化对行业是有益的。其中之一是漏洞赏金计划的兴起。这些计划是指组织雇佣一组相对匿名的测试人员来测试公司资源。我亲眼见过结果，它们可能非常有效。它们有自身的局限性和优势，但这是另一个博客的话题。

相反，我想关注的是我们在 BHIS 越来越多看到的一种现象：渗透测试的稳步稀释。内部我们称之为“粉队测试”。

粉队测试是指红队测试的最佳意图被稀释的情况。大多数时候，与我们合作的组织中的直接技术联系人都有最好的意图。他们希望真正测试组织检测和应对高级威胁的能力。但随后，测试开始被稀释。管理和法律方面的限制开始悄悄出现。有时，基于 FCC 或 HIPAA 的担忧，这些限制是非常合理的。任何测试都会有一定程度的限制，我们预期这一点，因为这是在这个领域开展业务的一部分。但今天我想讨论的是，当限制与测试本身完全不符时的情况。更确切地说，这些限制近乎荒谬。

例如，以下是我们在过去几个月中处理的一些情况：

• 客户主动监视测试 IP 地址（应他们的要求提供），然后在看到来自这些地址的任何流量时立即主动阻止它们。
• 客户实时监视被利用的系统，并在我们使用 cmd.exe 和 PowerShell 时主动禁用它们。
• 将大量电子邮件地址设置为网络钓鱼的“禁区”，因为它们属于组织中的重要人物。
• 在我们利用系统后立即停止测试，然后花一周时间让我们重新开始……因为他们认为我们无法进入，而当我们进入时，他们不知道该怎么办。
• 让一组人员授权我们打算利用的每个系统，然后不允许对最可能的目标进行利用。

我写下这些并不是为了取笑客户，而是想讨论为什么会发生这种情况以及如何在您的组织中处理它。

首先要理解的是，这些问题的核心是缺乏理解。虽然我们的直接联系人几乎总是理解测试将如何工作，但与他们合作的人可能不理解。处理这个问题的最佳方法是设置午餐学习会，您可以逐步介绍测试期间会发生什么。我们经常为系统管理员和开发人员举办网络研讨会，解释如何从他们的环境中移除低悬果实。我经常与客户的高层管理人员开会，逐步介绍我们在做什么以及为什么这样做。清楚地解释未经测试的路径将被攻击也很重要。这只是时间和训练的问题。

我以说话为生。为 SANS 教学让我接触了成千上万的学生，其中一些是敌对的。我不容易被吓倒，通常可以在不到一小时内传达我的观点。我还有那种“局外人”的优势。很多时候，我说的正是我的技术联系人多年来一直对管理层说的话。但是，因为我是来自组织外部，有时仅仅因为这个原因，管理层会倾听。

以上原因是为什么您需要在对话和便当会议中保持持续性的原因。不要期望信任和理解在一次一小时的会议中突然出现——信任是随着时间的推移建立的。至少每月提供这些会议和会话。过一段时间，您将在组织内建立信任和对安全与测试的基本理解。更重要的是，他们会开始更加信任您。这是对抗测试目标稀释的最佳防御。

想要提升技能并直接向 John 学习更多内容？您可以在下面查看他的课程！

• SOC 核心技能
• 主动防御与网络欺骗
• 通过 BHIS 和 MITRE ATT&CK 入门安全
• 渗透测试入门

提供实时/虚拟和点播形式。

GNU Screen 快速参考 | Wi-Fi 旅行工具包

3 条评论

kateo
2017 年 2 月 8 日 @ 9:15 上午
我们有人希望在进行网络钓鱼测试时提前通知。

kateo
2017 年 2 月 8 日 @ 2:53 下午
您是否有关于蓝队在渗透测试期间可以查看的内容的一套规则/界限？在测试期间设置对 IP 地址、特定账户名称、命令行历史记录等的警报是一个严重问题。

BHIS
2017 年 2 月 9 日 @ 9:25 上午
很难给出具体列表，因为行业变化如此之快——但我们要说的是，这似乎是一个理解红队进来评估情况的目的的问题。人们在接受渗透测试时感到非常脆弱，我们发现这很不幸，因为我们不是来破坏一切的，而是帮助每个人理解如何改进。我们希望我们可以帮助客户理解这是一种培训形式。