如果你问普通人信息安全或网络安全公司是做什么的,他们可能会给你一个与渗透测试非常相似的解释。信息安全的技术和黑客攻击方面最为人所知。它也被描绘得最具魅力。
您有多少次看到过这样的镜头:一个人在黑暗的房间里,用连帽衫遮住脸,不停地翻阅一页又一页的代码?
您有多少次看到过这样的视频:一个人入侵计算机大约 33 秒,然后就立即渗透到复杂的网络和基础设施中?
别误会,这些人是存在的,而且他们中的一些人有能力做到这一点。但现实情况是,大多数渗透测试都不那么引人注目。它们需要规划、研究、广泛的技术知识,以及(坦率地说)大量的反复试验。
如果执行得当,渗透测试可以为您的组织安全带来不可思议的效果。您可以快速了解攻击者突破您的基础设施有多容易(或多难)、您的安全漏洞在哪里、如果攻击者入侵可以做什么以及存在这些安全漏洞的风险有多大。但是,并非所有渗透测试都是一样的,并非所有安全计划都需要渗透测试。有时,虚假宣传、浮华和过度炒作都是非常真实的。
以下是渗透测试结果可能被高估的 7 种方式:
1. 并非所有渗透测试器都一样
这是很明显的。大多数事情都是如此。优秀的人排在最前面,不太优秀的人排在最后面,大多数人都处于中间位置。谁来做测试对渗透测试结果有重大影响。技能、经验、专业知识、使用的工具、方法、可交付成果。这些因素以及其他因素都会影响您参与的成功。
无论是车库里有一台电脑的单人,还是雇用人员只进行渗透测试的价值数百万美元的组织,并不是每个测试人员都会以同样的方式处理此事。
最终,重要的是您要选择具有足够经验的测试人员,并能够进行客观的、基于风险的参与,以帮助您的组织改进为业务设定的安全措施。
如果不这样做,您最终可能会得到达不到预期的渗透测试结果,或者成本过高。
2. 渗透测试可能有点过度
我们经常使用家庭安全系统作为渗透测试的例子。如何测试你的家庭报警系统是否正常工作?你策划一次闯入。这基本上就是渗透测试所做的。它策划了一次闯入
如果您尚未完成安全系统的安装,那么分阶段入侵将太容易(甚至不会真正测试系统)。在测试之前做好前期工作非常重要。渗透测试也是如此。
如果您从未对您的组织和安全实践进行过适当的安全评估(或者您根本没有实施安全实践),那么发现它们的脆弱性既为时过早,也浪费您的时间和金钱。
3. 渗透测试结果并不总能衡量安全性
我刚才提到,如果没有采取正确的初始措施,渗透测试就像走进一扇敞开的门一样。
想象一下,交战就此结束。通常情况下,确实如此。根据渗透测试的范围,测试人员的工作可能只是看看他们能否进入。而不是有多少种不同的方式,不是他们在里面能做多少事情,也不是速度有多快。他们到底能不能进去?
渗透测试结果怎么样?
通过这样的接触,您对贵组织的安全措施有何了解?您了解到有人可以入侵。真是惊天动地。我们已经知道不可能阻止所有入侵,所以我们已经知道有人可以入侵。
如果您的渗透测试就此止步,那么它就不会使您的安全程序变得更好。
4. 结果有时有待解释
渗透测试并不是所有测试的标准。渗透测试结果可能因测试人员而异。例如,渗透测试人员完全有可能在测试开始后 18 分钟内就渗透到您的系统。
18 分钟乍一听似乎快得可怕,但这个数字需要一些分析和解释。
您的渗透测试是由一位有近十年经验的专业人士进行的吗?还是由刚完成培训且是第一次参与的人进行的?
如果更接近第一个,您的网络实际上可能并不像 18 分钟所表明的那样脆弱。该测试员是一位经验丰富的专业人士,几乎见多识广。对于该测试员来说,如此快速地进入状态实际上可能更多地证明了他们的技能,而不是您的安全程序。
另一方面,如果您的渗透测试人员是第一次进行参与,或者没有与第一个示例中的测试人员相同的经验,那么您的组织可能应该对这个 18 分钟的结论极为担心。
如果您没有正确考虑整个参与范围,渗透测试结果可能会被高估。与一家组织合作很重要,该组织会为您配备一名符合您当前安全目标并为您着想的测试人员。
5.渗透测试的参数通常有限
渗透测试最具挑战性的部分之一是它们并不总是真正的测试。渗透测试的目的是模拟现实世界的攻击,并确定攻击者如何可能渗透网络并窃取信息。
模拟攻击只是模拟而已。通常,请求测试的组织会对测试施加限制,只允许渗透测试人员尝试某些事情或攻击特定的问题。
在野外,攻击者会使用他们认为合适的任何方法来试图窃取您的信息。而且,一旦成功,他们还可能会尝试升级攻击。
如果你对测试人员可以做什么或在哪里测试有所限制(尤其是为了满足合规性要求),你的渗透测试结果就无法提供完整的信息。你允许的越少,结果就越不相似
6.渗透测试可以实现高度自动化
在当今纷繁复杂的安全环境中,承诺“一键解决”复杂安全问题的做法屡见不鲜。渗透测试也陷入了同样的陷阱。渗透测试工作通常通过使用市场上可用的工具和解决方案实现自动化。
虽然这有其好处(一致性、时间和成本),但自动化渗透测试并不总是正确的方法。
最终,您需要一种最适合您组织的需求、目标、目的、漏洞、重要领域或关注点、法规等的参与方式。至少,渗透测试结果应根据您自己的风险阈值为您解释,并应包括执行摘要。
如果渗透测试使用自动化的方式与您的业务和安全目标不符,或者没有为您提供除“通过/失败”之外的结果解释,则渗透测试结果被高估了。
7. 它们会给人一种虚假的安全感
我绝不会说在渗透测试中表现出色是件坏事。如果你能够在相当长的一段时间内阻止渗透测试人员的进攻,或者限制他们访问的内容,那么你可能做得很好。
然而,获得良好的渗透测试结果只是一个更大的难题中的一小部分。
如前所述,渗透测试的参数可能非常狭窄。通常是因为委托测试的组织有一个他们想要测试的特定区域。他们可能已经做了很多工作来加强这部分安全措施,并希望确保它像他们想象的那样受到保护。
在这种情况下,他们忽视了整体情况。
同样,渗透测试只关注安全的技术方面。这只涵盖了处理安全措施的更全面视角的一部分。
良好的安全举措应考虑外部和内部技术控制(包括网络应用程序)、管理控制(政策、程序、入职、离职等)和物理安全(锁、摄像头、徽章等)。
如果您只关注技术控制(网络渗透测试所做的工作),那么您就无法全面了解您的整个安全态势。
渗透测试可以成为强大的工具,帮助您了解安全措施中存在哪些漏洞。
但是,如果您没有选择能够实现您的目标、安全目标和业务目标的组织或渗透测试人员,那么您最终会对渗透测试结果、参与时间、成本或以上所有方面感到不满意。此外,如果您没有将渗透测试作为更宏大的安全计划中的一项举措,您可能会错过技术测试未涵盖的领域中的关键漏洞。
这个故事的寓意是什么?
如果您没有以正确的方式进行渗透测试,那么您就无法为组织的成功做好准备。寻找一个安全提供商,他们愿意与您的组织合作,以对您有意义的方式测试您的漏洞,根据结果为您提供专家建议和补救措施,并可为您提供更多安全服务,以填补渗透测试无法弥补的空白。
如果您做到了这些,您的渗透测试结果将不会被高估。
希望这些信息对您有所帮助!如果觉得这篇文章有价值,欢迎点赞、分享、再看、转载,如果您有网络安全的疑问,联系我随时为您解答,感谢您的支持!
原文始发于微信公众号(星空网络安全):渗透测试结果可能被高估的 7 种方式
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论