红色-如何安全测试的5个提示

admin
admin
admin
102369
文章
87
评论
2022年12月8日19:41:57评论22 views字数 2038阅读6分47秒阅读模式

红色-如何安全测试的5个提示

红队对蓝队 演习是评估企业安全状况的一种非常有效的方法。2然而,红队由于其对抗性的方法,对红队和目标企业都带来了一定的风险,必须加以考虑。

2019年9月,爱荷华州州外包的两名渗透测试人员被因被控入室盗窃而被捕 更糟糕的是,这种误解几个月来一直没有得到解决。幸运的是,在2020年最后,指控被撤销了。。这个案例清楚地表明,在现实世界的攻击中,红队队员或任何类型的攻击性安全专业人员都可能出现严重错误。

然而,在安全测试过程中,不仅红队操作和/或外部道德黑客处于危险之中。在测试过程中,本应受到损害的目标系统可能会受到网络攻击的损害。因此,在执行完全成熟的红队和蓝队操作时,值得记住以下几点,甚至包括简单的渗透测试和漏洞评估。

1.商定红队交战的详细条件

当外包笔测试员或红队时,确保尽可能详细地进行测试。如果您的安全计划中有一些方面您不希望现在进行测试(可能是因为它们还没有得到足够好的保护),请确保澄清它。记住,一个好的渗透测试人员会想出最奇怪的方法来绕过您的安全控制。除非在测试前明确说明,他们可能会尝试使用恶意软件、网络钓鱼、社会工程甚至在真实攻击模拟期间禁用物理安全措施的攻击场景。

在渗透测试过程中,要特别注意可能被破坏的资源。例如,如果红队的部分练习是超越网络安全,测试物理安全漏洞,那么如果你不想让团队测试是否有可能在不触发警报的情况下突破玻璃门,或者是否有可能切断警报系统的电线,一定要清楚。

另外,如果红队测试是内部的,而不是外包的,不要认为这样的问题不适用。你的内部团队可能同样渴望用非常有想象力的方式测试你的安全性。确保他们清楚地知道你期望什么,什么是可以接受的。

2.把一切都写下来

无论你的红队练习是由你自己的员工还是外部公司进行的,确保双方都受到法律保护,以防出现任何问题。详细的协议/合同将保护笔测试者和你。

例如,如果在渗透测试过程中涉及到任何形式的法律强制,如果他们能够立即出示文件,绝对清楚地表明他们的行为是被请求的并且是法律的的,那么您的团队可能会避免很多麻烦。您可以向他们发放身份证/进入卡,以证明他们可以合法地进入他们正在闯入的房屋。他们当然不会用这种卡片来测试。

在非物理测试的情况下(例如,网络安全或Web安全),访问与您的业务相关的外部IP地址将非常有帮助。这样,如果任何执法部门介入(例如,由于互联网提供商检测到异常活动),渗透测试人员将能够显示他们执行攻击的IP实际上是属于被攻击的同一目标的IP。

3.了解当地法律

关于渗透测试的法律,无论是物理安全还是信息安全,在不同的国家或地区之间可能有很大的不同(如美国)。专业承包商可能知道这些法律,但您的内部安全团队可能不知道。

如果你的红队评估完全是内部的,确保你的笔测试人员充分了解你的法律的部门关于什么行动可能被认为是法律风险的。如果你的红队练习是在承包商的帮助下进行的,仍然要确保你的法律部门参与。原因很简单:预防问题要比事后被迫纠正问题容易得多。

4.通知潜在利益相关方

在进行实际的渗透测试时,尤其是当它还涉及到检查“人的状况”(例如,物理安全的效率)时,不能通知直接参与的人,因为这会破坏测试。例如,如果安全员工知道他们将在特定的一天受到攻击,他们将大大加强努力,及早发现并预防它。

然而,让人们蒙在鼓里可能会产生严重的后果。例如,如果渗透测试涉及物理安全,而您的企业与外部物理安全公司合作,该公司的员工可能会发现渗透企图并做出反应,甚至可能在此过程中对笔测试人员造成身体伤害。

在这种情况下,没有简单的解决方案,因此,你必须根据具体情况来解决,在必须分享的信息和必须保留的信息之间找到完美的平衡,以便测试是现实的。

5.预料到事情会出错

红色团队和笔测试本质上是入侵性的。即使团队成员非常专业和谨慎,也可能发生意外,敏感信息可能受到威胁。因此,无论是在网络安全还是物理安全方面,都要确保保护渗透测试中涉及的资产。除非您有所有系统、敏感数据和配置。当然,即使没有渗透测试,您也应该有完整的备份,但是在这种高风险活动中,出错的可能性要高得多。

一般来说,当执行这种侵入性的实时练习时,您应该做好最坏的打算--就像在真实攻击的情况下一样,但更糟的是,攻击者也是您团队的一部分!例如,如果您有笔测试人员试图闯入您的公司,希望执法部门能抓住他们并做好相应反应准备。您可能预期的其他一些结果是关键系统或防御机制暂时不可用,因此请确保您的补救和事件响应能力是一流的。

尽管存在潜在风险,但渗透测试和红队是验证安全状况的绝佳方法,您不应因为这些风险而气馁。

Tomasz Andrzej Nidecki(也被称为tonid)是Invicti的主要网络安全作家,专注于Acunetix。Tomasz是一名记者、翻译和技术作家,拥有25年的IT经验,早年曾担任hakin9 IT Security杂志的总编辑,并曾运营一个专注于电子邮件安全的大型技术博客。


原文始发于微信公众号(xiaozhu佩奇学安全):红色-如何安全测试的5个提示

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月8日19:41:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   红色-如何安全测试的5个提示http://cn-sec.com/archives/1447136.html

发表评论

匿名网友 填写信息