快速自动化渗透测试

数量不断攀升的漏洞，是红队进行攻击的重要突破口。2021年，新增漏洞创下历史新高，首次超过了20,000个，达到20,175个CVE，比2020年增长了10%，这是自2018年以来最大的增长。另外，根据 Ponemon 研究所与 IBM 发布的《2021 数据泄露成本报告》显示，2021 年数据泄露的平均成本是 424 万美元，漏洞问题不容忽视。

渗透测试在评估企业面临的漏洞风险、合规能力及安全运营测试方面起着关键作用。那么组织机构如何选择渗透测试服务的安全厂商呢？本文从知己和知彼两个维度，详细介绍企业进行渗透测试前要考虑的因素，以及如何通过结构化方法准确评估和选择渗透测试的安全厂商。【文末可下载完整版《渗透测试服务商选型指南》】

网络安全应优先考虑针对外部攻击的网络安全，在攻防演练中主要是红队穿透网络。渗透测试在网络安全威胁管理方面是公认有效的手段。它通过检测和修复漏洞，确保企业的网络安全。通过渗透测试定期进行漏洞管理可以让组织机构详细地了解安全漏洞并采取相应的控制措施。

知己：明确企业进行渗透测试的需求

如果企业组织确定需要渗透测试，那么安全负责人在选择安全厂商之前，应首先明确渗透测试的类型、目标以及范围等需求信息。

1、明确渗透测试的类型

渗透测试的类型

安全负责人在尝试评估组织机构的安全状况时，可以从白盒测试开始，这是一种轻量级评估。然后转到灰盒测试，针对特定资产进行测试。最后一个阶段是黑盒测试，它测试的是防御、检测和响应实际攻击的能力。

2、确定渗透测试目标、需求和边界

不同企业组织进行渗透测试的目标不尽相同，可能是发现资产中的脆弱性；或是利用这些脆弱性来破坏系统，确定外部攻击者是否可以进入内部网络；也可能是确认无线访问点是否允许未经授权的企业网络访问，以及攻击者是否能够以办公室内某一个员工为跳板连接到公司网络。这些目标表明了渗透测试的厂商如何在规定的测试范围内实现测试目标。

企业组织在确定渗透测试需求时要从测试范围和目标出发，并结合相关人员（尤其是IT基础架构和业务应用所有者）的意见。此外，IT部门以外的业务负责人需要提供与测试范围和目标有关的操作风险偏好方面的意见，因为测试可能会对运营产生负面影响。在确定测试需求和测试边界时要注意以下问题：

● 测试包含哪些类型的资产（设备、主机、应用、环境和人员）？有没有时间限制？

● 测试哪些环境（例如仅测试开发环境还是包括生产在内的所有环境）？

● 测试范围内是否包括IaaS、PaaS或SaaS之类的云服务？

● 当测试人员进行真实的漏洞利用时，组织愿意在测试范围内围绕资产的可用性和完整性承担多少风险？

● 如果进行远程测试如何提供访问、监控权限？厂商是否需要在组织机构的网络上部署自己的产品以便进行内部渗透测试？

● 需要详细的沟通和升级备用计划。双方必须就“无假设”策略达成一致。例如，如果系统无响应，则表示发现了重大漏洞或发生了入侵。沟通必须及时且清晰明了。

● 明确给予渗透测试厂商多大程度的独立性？赋予的权限越多，风险越高，但是结果可能会更全面和彻底。

知彼：通过结构化方法比较、评估和选择服务商

企业组织在确定好自身进行渗透测试的需求后，可以按照需求选择具体的厂商。首先选择部分渗透测试厂商的候选清单，并发布一份RFP（需求建议书）。按照需求建议书对厂商的优缺点进行统一对比。

RFP应该包括四个核心部分：

● 企业组织的详细信息、相关背景信息、进行测试的动因以及渗透测试的范围和目标，在企业组织可接受的范围内，尽可能与外部共享更多信息。

● 相关测试需求和范围，包括测试目标和测试范围的描述，以及沟通方法和预期完成日期等信息。

● 确定厂商在回应RFP时需要回答的特定问题，这些问题旨在评估厂商能力，在比较和最终选择阶段，这些问题将起到关键作用。

● 标准的RFP采购信息和问题，包括RFP答复的格式、联系方式、商业详细信息、客户参考信息和答复截止日期。

企业组织在评估厂商的过程中应重点关注以下问题：

● 厂商的测试人员的技能、经验和资质怎样？渗透测试人员的经历，以及在类似规模的组织和IT环境中的渗透测试经验，要求厂商提供渗透测试人员简历和涉及类似目标的案例作为补充。

● 初始测试通常使用自动化工具映射网络并收集潜在目标的信息，但部分厂商更依赖手动测试。手动测试的数量会影响测试项目的持续时间和成本。所以要了解手动测试和自动测试的相对比例，进而了解厂商之间的成本差异。

● 了解测试报告和结果的撰写方式。报告是使用标准模板还是按需定制。确定报告是否包含执行摘要、调查结果的详细技术说明、补救指南、使用方法和执行测试的清单，以及是否提供信息以证明利用漏洞的方式。要求厂商提供类似活动的报告示例。

● 了解渗透测试的管理流程，以及在测试过程中，如何传达状态更新和漏洞发现等信息。例如，测试期间定期举行会议以解决问题或紧急情况，以及每周举行一次签到会议来评估进度。

● 了解厂商渗透测试的报价费用，比如每天和每小时的总成本明细。如果测试的时间比预计的长，那么如何处理超额费用，以及额外测试时间的费率是多少？

企业组织要重点关注成功渗透测试的关键因素，如下图所示，展示了成功的渗透测试的四个因素，这些因素为最终的厂商选择提供更多背景信息。

成功进行渗透测试的4大关键因素

● 渗透测试报告：查看样本报告和其他材料。报告的内容是否详细？提供的信息是否有用？报告的细粒度对短期和长期优先处理漏洞是否有用？报告的格式是否可以按照需求输出？

● 渗透测试的管理和沟通渠道：确认是否需要提供专门的测试管理资源来支持渗透测试服务人员，以及沟通渠道和节奏是否足以应对复杂的情况。

● 专业知识和经验：首先关注安全厂商的工作及其实现目标的能力，然后比较价格。比较价格时，应特别注意评估渗透测试服务和报告生成的天数，时间的差别通常可以说明为什么厂商价格差异很大。

选择厂商是组织机构进行渗透测试的第一步，也是最关键的一步。通过结构化分析方法，企业组织可以在合理的预算内，为自己选择最合适的渗透测试厂商，最大程度了解自身的安全状况，从而有针对性地有效提高安全防护。

青藤渗透测试服务由专业渗透测试工程师，模拟黑客可能使用的攻击和漏洞发现技术，对目标应用系统及其宿主服务器进行深度漏洞挖掘，发现WEB应用系统、APP程序中存在的安全漏洞，进行漏洞可利用性验证，并提供包含完整漏洞信息、系统化处置建议报告，帮助客户尽早发现漏洞、修复漏洞，进一步加固企业组织的数字化安全防线。如果您想了解更多青藤的渗透测试服务或者其他安全产品功能，点击“阅读原文”可以进行免费申请~

扫码下载完整版渗透测试服务商选型指南

原文始发于微信公众号（天驿安全）：快速自动化渗透测试