5 Things We Are Going to Continue to Ignore in 2025

演讲者：John Strand

本网络研讨会最初于2025年1月30日播出。在本视频中，John Strand讨论了渗透测试的复杂性和挑战，强调其远不止发现和利用漏洞。他重点指出了解决遗留应用和组织内废弃系统积累的重要性，这些问题往往导致安全 oversight。此外，讨论还涵盖了管理难以修复的异常和漏洞所需的补偿性控制，并涉及云服务的作用及其与遗留系统的关系。

关键要点

• 渗透测试应专注于漏洞扫描和利用等自动化任务之外的领域，让人类测试员从事AI无法执行的活动。
• 组织往往忽视的遗留应用会随时间积累漏洞，当发现新漏洞或漏洞类别时，可能导致潜在的安全问题。
• 组织倾向于关注关键漏洞，通常为难以修复的问题创建例外，如果管理不当，可能带来重大安全风险。

亮点时间戳

• 2:43 遗留应用日益增长的挑战：持续威胁
  遗留应用随着组织老化而积累漏洞，变得日益棘手，即使在基于云的SaaS环境中也是如此。

• 2:41 应对供应商漏洞：披露困境
  探讨当供应商拒绝修复漏洞时公司面临的挑战，突出披露困境和行业实践。

• 2:07 开发者自负与安全疏忽的危险
  开发者通常通过自负驱动的LinkedIn个人资料和在开发环境中使用生产数据暴露安全风险。

• 1:27 延迟的安全通知：呼吁问责
  由于云供应商缓慢的日志传输过程，客户面临延迟的攻击通知，往往数小时后才得知。

• 1:42 挑战Oracle的安全傲慢：呼吁问责
  文本批评Oracle对报告漏洞的 dismissive 回应，强调安全测试中问责的必要性。

• 2:27 揭示漏洞：云安全工具中被忽视的风险
  全面安全工具的快速发布凸显了Azure中被忽视的漏洞，敦促微软和组织优先修复。

• 1:13 合规的幻觉：重新思考安全重点
  组织通常忽视全面合规，只关注最低要求，同时被勒索软件威胁分散注意力。

• 2:34 信息安全军备竞赛：AI、简化解决方案与培训挑战
  信息安全行业面临与AI的军备竞赛、过度简化的解决方案以及负担得起的培训需求。

• 2:20 量子计算：AI之后的下一个前沿？
  量子计算探索概率的奇异领域，承诺在计算机安全和问题解决方面带来革命性进步。

• 3:06 追逐目标：应对科技职业中的冒名顶替综合征
  科技中的冒名顶替综合征源于目标 shifting；满足感来自激情，而非自负驱动的成就。

完整视频

[视频链接]

文字记录

John Strand:
Best，你充其量是个 outright liar，最坏是个 charlatan。我知道，我知道，我知道我实际上关心的一些人站在 fence 的另一边。但我现在告诉你，如果你认为渗透测试只是漏洞扫描、发现漏洞、找到漏洞利用、利用该漏洞然后 pivot，那你就完全错过了整个行业的重点。

是的，这些是我们做的事情。是的，这些应该自动化，但这类事情应该自动化，以便渗透测试员可以做AI无法做、不会做的这类事情。

所以当我们看这些事情时，它再次回到这些遗留应用，对吧？如果我们要责怪这些事情，我们要责怪永远存在的遗留应用，我们要责怪永远存在的服务器。

从漏洞分析的角度来看，我注意到组织越老，积累的遗留垃圾就越多。这很有道理。所以，我希望大家想象一个巨大的雪球，但我想让你把雪球想象成一个巨大的垃圾雪球。每年它旋转一次，捡起更多垃圾，捡起更多服务器，捡起更多服务，捡起更多应用，变得越来越大。

组织 literally 忽略任何不是关键或高严重性的东西，只关注关键和高严重性。然后低和中严重性继续增长，信息性继续增长，变得越来越大，所有这些遗留应用都填补其中，然后突然出现一个新漏洞或漏洞类别，我们开始恐慌。

所以这些遗留应用是你忽略的东西。我不是在责怪你，只是这就是它的工作方式。是组织继续忽略的事情。我预测我们将继续忽略到未来很远。

对吧？现在有些人可能会告诉我，哦，哦，哦，这就是云服务好得多的原因。我对云有特殊的位置，但我会谈论云与遗留服务的关系。

我干这行很久了。我不会指名任何云服务，比如微软或Azure或任何人，比如微软Azure或亚马逊之类的。但是，但是，但是有很多SaaS应用，当你查看SaaS应用时，你可以看到代码库真的五年没动过。

可能是时间表应用，可能是项目管理应用，可能是协作应用，可能是许多不同的应用。我们在这些SaaS应用中看到，你一次又一次地在SaaS应用中看到，我稍后在云中会更多谈论，它们也不 immune 遗留软件的概念，因为它们变成了摇钱树，并且 ingrained 到该应用中。

利润动机不再是更新和创新，而是让人们留在该应用中并尽可能长时间地榨取它。所以这种懒惰的应用现象不仅存在于应用、托管的服务器中，也存在于服务中。

我喜欢所有“老人对云大喊”的gif。因为，老实说，它完全总结了我今天的网络研讨会。对吧？

好吧，我们继续。异常，异常。当我们进行渗透测试时，我与其他渗透测试公司交谈，发生大量异常。这实际上直接与遗留应用相关。相信我。绝对与遗留应用相关。但你到了有些组织在一般BHIS中，一般BHIS客户通常真的很棒。

我注意到Black Hills信息安全渗透测试客户存在很大的选择偏见，他们通常知道我们在做什么，知道他们会遇到什么，并且理解BHIS的目标和目的不仅仅是做清单练习，然后说，这是你的干净报告。

这是你的干净报告。这是你的干净报告。这是你的干净报告。你可以去雇佣其他公司做那事，他们会尽一切努力给你一个绝对超级干净的渗透测试报告。

如果我们有客户 push 我们说，如果你能给我们一个干净的报告，我们会很高兴。我们有客户没付钱，因为他们说，是的，我们不能拿这份报告去董事会，因为你有23个关键漏洞。

我通常会说，很好，修复关键漏洞。我会修改报告和你的评级。我们可以做到。这些关键漏洞都不复杂。这正好涉及到这里的异常点。

他们就像，不，不，不，不，不，不。我们认为这些都是低严重性。我们不认为这些是关键。我们有一个测试员，我相信是Melissa，她测试一个有密码重置门户的组织。

从外部，她能够绕过认证，获得对密码重置门户的访问权限，然后她发现一个bug，可以重置整个组织中任何人的密码。

这就像 beyond trust。就像财政部发生的事情。不完全像那样，但非常相似，她能够进入那个门户，能够重置整个组织中每个人的密码，并获得该组织中每个计算机系统的访问权限。

组织与我们斗争。他们说，是的，那不是，我们不认为那是关键。我记得在会议上进行那次对话，说，你认为关键会是什么？这有点 catch 他，对吧？他们回到Josh Wright的法律。他们说，嗯，没有 meta exploitable 漏洞。像，Melissa显然是一个非常非常高水平的黑客。

大多数黑客不在她的水平操作，所以这必须是一个低严重性漏洞。当然他们进来，他们说，嗯，如果我们看这个漏洞的可能性，当我们取漏洞和威胁行为者攻击可能性的交集以及它们如何与之交互时，我们认为 aggregate 是低。

就像，不，不是。是关键。有人可以 literally 进入你的环境，更改你任何系统上的任何密码，随意获得访问权限。而且没有日志记录。

我的一个朋友碰巧拥有一家渗透测试公司，第二年受雇测试这家公司。他们没有回到我们，这没关系，对吧？我们可能不会做测试，只是因为他们真的、真的、真的不感兴趣。

果然，测试这家公司的朋友说，他们为那个特定门户创建了一个异常。而不是解决关键漏洞和 aggressing 事情。我不会说是谁。而不是解决漏洞，这个特定组织简单地创建了一个异常。

他们说，你不能测试有关键漏洞的那个门户。最后，他们再次想要一个健康证明，说他们的组织是安全的。

它还在那里吗？老实说，我不知道。我们不会回去。哦，我们来谈谈范围。这是上周发生的事情。我们的一个测试员，客户给了他们一个IP范围。像，这是我们所有的IP。这些是你可以测试的。这些是你可以测试的域。

测试员开始测试它们。就像大多数组织和大多数合同一样，一旦我们找到关键漏洞，我们立即与客户分享，因为它需要立即解决。发生的是，一旦我们找到关键漏洞并交给客户，他们来找我们说，嘿，我们可以之后从测试范围中排除那个吗？

那很棘手，顺便说一句。从客户角度对我们来说很棘手，找到关键漏洞然后说，嘿，那不再在范围内，所以不能在报告上。

哇。对吧？所以你从管理看这些异常，对吧？像管理和异常会是，你可以鱼叉攻击组织中任何人，除了C套件。这里是组织中你不能测试的所有用户，因为他们是经理，是C套件，是组织中的神圣牛。

黑客最先攻击谁。家伙他们最先攻击谁。他们绝对会攻击C套件，对吧？他们绝对会通过，对吧？他们就是。但他们创建那个异常。第三方供应商的异常。对不起，你不能测试亚马逊的任何东西。

为什么我不能测试亚马逊的任何东西？因为亚马逊说你不能测试，那是垃圾。亚马逊的政策是你可以测试亚马逊，你可以测试对抗亚马逊，但如果你发现任何漏洞，你必须让他们知道。基本上是，嘿，如果你要测试我们，你要免费测试我们，对吧？这是今天大多数云供应商的标准操作程序。对吧？但组织想尽可能创建这些异常。

这不仅适用于外部渗透测试公司，对吧？内部安全团队。一次又一次地看到完全相同的 thing。任何难以修复的东西的异常，像Web门户，DLL事情，Moth发现的。我们与许多有完全相同漏洞的供应商交谈，让我震惊。大多数这些供应商不知道如何修复那个漏洞，因为写那个加密库的原始开发者不再在那家公司。

所以他们不能修复它。他们去找我们的客户说，嘿，我们不能修复这个漏洞，但你要做什么？嗯？嗯？嗯，嗯？什么？没有其他产品做我们做的事。你不能去任何其他地方。我们认为我们处于相当好的位置，所以我们不能修复它。很难。所以接受它，对吧？就接受它。

我们的客户 constantly 像，我们做什么？对吧？我们像，哦，那糟透了。我们可以公开吗？他们像，天啊，不。为什么我们的客户不想我们公开？我不怪他们。我认为那是我会推荐的。但如果你有供应商拒绝修复的漏洞，你不想公开。你根本不想公开。

我完全不能怪我的客户，因为你不想这些发现的漏洞突然出现在某个bhis博客文章上，顺便说一句，这在本网络研讨会后面会出现。突然现在像，对所有人公开知识，供应商无法修复它。那很难。那是一个艰难的决定。

现在，老实说，我来自 attrition、Jericho 和 full disclosure 的旧时代。我保证，如果你公开那个漏洞与许多这些供应商，那些供应商可能两天内修复它。但那只是历史。我不会强迫那个决定给我的客户，因为那很糟糕。那意味着。最终那不是我们作为渗透测试公司的目标和目的。对吧。

这有点 rant，但就像我说的，99.8%的客户 flipping awesome。他们很棒一起工作。这带我到最后一点。

补偿性控制。你总是会有异常。你总是会有遗留应用。你总是会有组织中这些无法修复的东西。好吧？你总是会有这些东西，但你总是需要寻找补偿性控制。

如果我们有一个有特定漏洞的应用，它可以被 compromised，我们可以放补偿性控制，我们通过像Sysmon的东西监控对那些动态链接库的访问，我们可以在SIM中创建专门签名，可以检测 whenever 有人试图做那些类型的 shenanigans。

如果你不想我 target 你的C套件，我们可以放一些额外的补偿性控制保护他们自己吗？我们可以做到吗？如果我们有遗留服务器和遗留服务，我们可以通过几个不同的防火墙放它，我不能击中AS400上的每个端口，我们可以有它？所以它非常、非常特别过滤的应用防火墙。也许我们会放一些像N层架构代理去那个设备的流量。

那真的 incumbent upon 我们作为进攻人员，我们现在可以与客户合作，认识到异常存在，认识到遗留应用存在，认识到业务运作需要它们，但与客户合作帮助他们开发补偿性控制使情况更好。

因为尽管我 frustrated 每个人，尽管这是 rant，那是我很多演讲出现的方式，像是 rant。BHIS和我们渗透测试公司的第一目标是让我们的生活更困难。我们想让我们的客户更好。所以他们让渗透测试员哭。那是我们的第一目标。那意味着协助他们。那不意味着说，嘿，修复你的东西或你愚蠢。

那意味着说，看，我们认识到这个决定 above 安全团队。很多时候 above IT团队，我们必须与他们一起工作修复这些问题并提出这些补偿性控制。

再次，那不是你的自动化渗透测试平台会提出的东西。是的，我知道。是什么，Jack Henry？故事是什么？试图超越蒸汽机的人，或蒸汽，像蒸汽铲，whatever，我猜。John Henry。非常感谢，John Henry。是的，那是我们在的地方。我想我最终会失去这个。可能。我们会看到。那是一件 awesome 衬衫，顺便说一句。

开发者。我，我不知道我需要说多少，因为我认为每当人们看到这个开头时，他们知道这要来。对吧？与BHIS和测试，不管安全团队多 awesome 不重要。甚至C套件多 awesome 不重要。只是，你不能信任开发者。你就是不能。

我，打算做完整的Steve Ballmer meme。我喜欢这种风格化的Steve Ballmer版本，因为我有点厌倦汗水和舞蹈。但如果你没看过视频，我确定有些人会在discord上 pop gifs 一会儿。我们会一会儿看到。

但开发者可能被覆盖在异常下，但通常不是，我认为有点怪。我认为他们不被覆盖在异常下，因为我认为很多安全团队秘密恨他们的开发者。他们可以说你可以渗透测试一切，但在这里，这些开发者和IO的月亮，这些是，你不能登陆那里。尝试不登陆。

但几乎像安全团队像，是的，谢谢。是的，我们真的很兴奋。带你们进来。这是参与规则，这是范围，这是IP地址我们的开发者在。他们就在那边那个房间。

John Strand:
这是他们的IP范围。有点，Europa。谢谢。我搞错了。所以它如此糟糕，它是自己的类别，对吧？当我们看开发者时，他们真的像可怕的LinkedIn个人资料。只是在许多情况下像圣诞树一样点亮他们。像，我是一个全栈工程师。我可以用C、C++、Golang和Rust开发。像他们的个人资料 just scream。我是我环境中高度特权用户，我会点击你发送的每个链接。

所以请 just 鱼叉攻击我，因为我有那种自负，因为我足够聪明，我不会点击任何链接。我喜欢坐在谎言的宝座上。对吧，所以开发者做什么？像，第一，我认为一个，像，我不知道，像最不可饶恕的罪开发者可以做的是生产数据和开发环境。这一直发生。

你在扫描，你找到，dev.company.com，然后你闯入它。因为密码像root和password，你得到它，一旦你进入，它 just riddled 实际生产数据。然后当你去找你的安全人员，你的联系人几乎不可避免地，他们总是像，嗯，他们不应该有生产数据。像他们应该使用测试数据。为什么他们使用生产数据？因为他们是开发者。那就是他们做的。Yo。他们想开发，他们想确保软件尽可能工作最好。保卫开发者没有比生产数据更好，对吧？我不总是测试，但当我做时，我选择在生产中做。所以世界上最伟大的黑客说。

所以我们一直看到。像我说，那种不可饶恕。更可原谅的一点，本地管理员。今天有大量他们的产品和工具要求他们是本地管理员。这与LinkedIn个人资料事情 coupled just literally scream 晚餐铃 for 黑客，对吧？只是，只是叮，叮，叮，叮。我们都下来，我们都兴奋。我们拿我们最喜欢的牛排酱，顺便说一句，完全巨大粉丝Chick Fil A酱是现在超市可以买的东西。所以那是我想到的每当你发现开发者。

他们有本地管理员，基本上，广告，嘿，看这里在LinkedIn，我是开发者，我可能有本地管理员在我的计算机系统上。所以那更可原谅，因为他们许多工具要求那。和，我认为它回到像，它像懒惰开发者 all the way down。但不是，它进入许多工具开发者开发者使用自己懒惰。对吧？所以那有点问题，那里。

下一件事。和最后一件事，或第二最后一件事是安全 bolted on 在最后。我不一定怪开发者这个。做这现在很长时间后，我真正理解为什么我恨，我绝对恨它。每当我们有人打电话给我们像，这个应用必须一个月内上线。我恨它因为开发者会恨我们。他们可能某种程度上合理在他们的恨，因为我们出现，我们做渗透测试，我们找到大量漏洞，开发者像，嗯，这必须20天内上线。我们不能20天内修复所有这些。那糟透了，对吧？因为你必须责怪某人。如果你是开发者，你必须责怪某人，对吧？你会责怪渗透测试员，对吧？我是信使，拔出你的枪，射我，对吧？那就会发生。我期待那。我训练我的测试员接受那种恨，不 personally 和不要恶意。那是自然人类发生，对吧？但那是时候我们在那特定点深呼吸，退一步开始与开发者谈论分诊，对吧？

如果我们说，看，如果这个应用20天内上线，这是前四个关键漏洞你应该解决。这些是预认证漏洞。这些是任何人运行Burp Suite Pro可以运行扫描，识别这些漏洞，并随意接管你的应用的漏洞。让我们先修复那些。让我们设置开发队列，你可以说，嘿，你可以上线有一些关键，但这些关键，预认证，你需要尽快修复这些，然后优先排序下来和优先排序出去。对吧？这对计算机安全团队整体如此多，对吧？像，我们不能是业务的停止代理，对吧？这是我从Dave Shackelford学到的事情之一，多年是我们不能是 constantly 说不和停止的人。我们可以在网络研讨会上与像500人 commiserate，我们可以谈论这些事情。但最终，我们的工作是让我们的工作更困难作为渗透测试员和我们作为安全专业人员的工作是帮助组织继续运作作为业务在最安全的方式它可以。不是做零和，对吧？像，不是说你必须修复一切或我们不能上线，因为那会让人恨你和让人忽略你。你必须工作，必须优先排序，必须设置它。你必须想出一个团队，计划，一起工作。是什么。有一本伟大的书叫There is no they on the Santa Fe，对吧？如果你没读过，你需要去检查它。但基本上是关于一个潜艇船长接管Santa Fe，海军中表现最差的船，每个人一直责怪每个人 everywhere。他基本上杀了词they因为每个人责怪其他人。我们都必须意识到我们在一起，我们需要彼此合作。Turn the Ship around是书名。谢谢。如果人们能提供链接，那会很棒。

现在开发者的问题，然后你 couple 那与