您可以通过对所有系统和数据进行分类、分配角色和职责、使用相对风险评分、定义沟通渠道以及根据需要定期更新策略来成功实施渗透测试策略。
渗透测试通过使用已知策略、技术和程序 (TTP) 模拟攻击者行为来主动测试组织的 IT 安全弹性。
通过模拟现实世界的网络攻击,渗透测试提供了比仅依靠自动扫描产品来查找可利用漏洞更高程度的安全保证。
本文将概述为什么组织可能希望(甚至被要求)进行定期渗透测试,并描述如何使用正式策略支持渗透测试活动。
渗透测试策略通过支持渗透测试最佳实践并确保明确定义角色和职责,有助于提高渗透测试计划的有效性。
什么是渗透测试策略?
渗透测试策略是一组正式的指南、要求和标准操作程序,用于定义组织用于管理渗透测试活动的总体目标、期望、限制和方法。
渗透测试策略主要概述了应该进行哪些类型的渗透测试以及谁负责组织渗透测试计划的不同方面。
该政策还应明确概述如何处理所有利益相关者(包括经理、服务提供商、部门和 IT 安全团队)之间的沟通。
渗透测试策略有助于确保渗透测试计划活动以可靠的方式进行,并且报告可以有效地促进修复发现的任何安全漏洞。
在进行渗透测试以满足法规或行业标准的情况下,渗透测试策略有助于确保合规性。
为什么需要渗透测试策略?
网络攻击的频率和严重程度不断增加。
网络安全统计数据显示,近年来网络攻击的频率和成本急剧增加,并且这种趋势预计还会增加。
勒索软件攻击(顶级网络威胁)在 2020 年每次事件平均造成价值 283,000 美元的停机时间,而攻击者的需求同比增长 82%,到 2021 年平均达到 570,000 美元。
尽管扫描网络是否存在错误配置和已知漏洞等基本漏洞管理活动可以为组织提供一定程度的风险缓解,但渗透测试活动可以实现更高程度的 IT 安全风险保证。
如果没有正式和系统的方法来进行高级风险缓解活动(包括笔测试),就不可能确保可靠地进行风险缓解。
正式的渗透测试政策通过提供明确的操作程序来标准化流程,从而提高渗透测试活动返回结果的有效性、效率和可靠性。
渗透测试策略清楚地概述了测试类型、时间表、范围和测试活动的限制,以便测试人员以有组织且可预测的方式工作以实现预期目标。
渗透测试策略还委派角色和责任,并定义清晰的沟通渠道,以确保及时正确披露测试结果并修复任何安全漏洞。
这种结构化且可靠的笔测试操作方法通过测试 IT 环境针对已知的现实网络攻击策略的弹性,可量化地降低网络风险。
渗透测试政策应包括哪些内容?
根据组织寻求保护的 IT 环境类型,渗透测试有不同的用例。
每个组织都可以将笔测试活动范围限定为仅包括关键部门、资产、应用程序或网段的一小部分。
从根本上来说,渗透测试政策应包括对所有资产、系统和数据的风险评估 、渗透测试活动时间表以及应进行哪些类型测试的详细说明。
由于渗透测试的目标是模拟现实世界的网络攻击,因此在大多数情况下,第三方服务提供商将执行测试。
组织的笔测试策略应明确指定这些合作伙伴服务提供商,并包括服务提供商的输入。
通过这种方式,笔测试策略可以充当服务级别协议 (SLA) 来管理组织对服务提供商的期望。
渗透测试策略至少应包括:
-
对渗透测试计划最基本目标的描述。
-
对任何法律或正式合规要求的描述。
-
指定所有笔测试活动的关键角色和职责。
-
管理渗透测试计划的沟通和报告渠道。
-
将进行的渗透测试类型的描述。
-
应适用于所有笔测试计划活动的一般范围和限制。
如何编写渗透测试策略
设计和实施有效的渗透测试策略需要一个可概括如下的过程:
-
构建组织整个 IT 环境的全面资产清单。
-
根据操作重要性、网络漏洞造成的潜在损害以及适用的法律和法规对所有系统和数据进行分类,制定风险管理目标。
-
为内部员工分配角色和职责,第三方服务提供商将提供渗透测试或相关服务。
-
使用相对风险评分来确定哪些类型的渗透测试活动、范围和限制适合根据风险管理目标降低风险。
-
确定最合适的沟通渠道来记录、监控和报告渗透测试活动的结果。
-
根据需要维护、监控和更新渗透测试策略。
该过程应包括咨询可信的行业标准,这些标准定义了与数据敏感性、操作关键性和数据所在的底层基础设施相关的 IT 安全最佳实践。
值得注意的是,渗透测试活动受到持续监控,以确保正确遵循程序。
此外,如果业务运营或基础设施发生变化,则应根据需要重新评估和更新渗透测试策略。
总结
即使是一次数据泄露的成本也可能很高,并且近年来呈指数级增长。
许多组织正在积极寻求扩展其网络安全运营,以包括渗透测试活动——对其自己的基础设施进行授权的模拟网络攻击。
通过使用已知攻击模拟现实世界的攻击,TTP 组织可以更高程度地保证 IT 环境具有弹性。
正式记录的笔测试政策清楚地概述了目标、活动、时间表、要求、角色和责任、范围和限制;允许组织从笔测试操作中获取更大的价值。
组织也不需要从头开始。渗透测试策略模板已经存在,可以启动创建策略的工作并使过渡更加顺利。
原文始发于微信公众号(河南等级保护测评):如何创建和实施渗透测试策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论