渗透测试检查表比以往任何时候都重要#
鉴于攻击面不断扩大,攻击者的策略和技术也日益复杂,渗透测试清单已成为确保全面评估组织内部和外部攻击面的必要条件。通过提供结构化方法,这些清单可帮助测试人员系统地发现各种资产(如网络、应用程序、API 和系统)中的漏洞。它们确保不会忽略任何关键领域,并指导测试过程,使其更高效、更有效地识别可能被攻击者利用的安全漏洞。渗透测试清单基本上不遗漏任何细节,是一份详细而全面的清单,列出了模拟攻击所需的每种漏洞类型。
但是,每项被测试的资产都需要一份针对其特定特征和风险而量身定制的渗透测试清单。例如,渗透测试 Web 应用程序(仍然是恶意行为者的首要目标之一)的清单将非常冗长,但包含面向外部的应用程序所特有的漏洞。这些专门的清单是试金石,可确保根据资产评估安全措施、评估其有效性,并使整体测试更具针对性并与每个环境相关。
BreachLock 最近推出了一份综合指南,其中包括使用各种框架(如 OWASP Top 10 和 OWAS ASVS)对每项资产进行渗透测试的主要阶段的详细渗透测试清单以及以下所有相关漏洞:
-
网络 -黑盒外部网络测试的渗透测试清单,包括信息收集、漏洞扫描和枚举、一般安全发现和基于服务的测试。
-
Web 应用程序。灰盒测试的渗透测试清单包括用户身份验证、授权测试、输入测试、基于文件的攻击、错误处理、业务逻辑测试以及发现和侦察。
-
API –灰盒测试的渗透测试清单,包括用户身份验证、授权测试、输入测试、基于文件的攻击、错误处理、业务逻辑测试以及发现和侦察。
-
移动 -灰盒测试的渗透测试清单,包括静态分析、动态分析和网络分析。
-
无线- 简要的渗透测试清单,包括无线网络 (SSID) 识别、无线网络的未经授权访问、访问安全控制和恶意接入点检测
-
社会工程学- 一份简短的渗透测试清单,包括网络钓鱼攻击、伪装和冒充、USB 丢失以及物理渗透。
这是渗透测试检查表为何重要的总结,包括一般渗透测试检查表的概述。可在此处访问全栈安全的完整指南,包括 BreachLock 针对所有资产的全面渗透测试检查表汇编。
渗透测试交付模型概述#
渗透测试已成为识别和评估内部和外部攻击面漏洞的最有效的攻击性安全措施之一。传统的渗透测试方法确实已经发展,渗透测试服务现在被广泛用于帮助加强组织的安全态势。
渗透测试由经过认证的安全专家执行,他们模拟真实攻击以识别特定范围内的漏洞,并进行评估和缓解。这些测试基于根据资产(例如 Web 应用程序、网络、API 等)量身定制的详细渗透测试清单,并作为渗透测试清单流程的指南,确保使用标准化框架并且测试符合适用的合规性要求。
为了更好地理解渗透测试,下面列出了用于渗透测试的各种方法,包括交付模型、可扩展性和测试频率,然后是按资产类型划分的渗透测试清单。
交付模式#
-
传统渗透测试:通常由经过认证的渗透测试专家团队在固定时间内(通常为几天或几周)手动执行。该工作以项目为基础,测试完成后提供最终报告。
-
频率:通常定期执行,例如每年或每半年,作为合规性要求或安全审计的一部分。
-
可扩展性:由于人工测试人员的手动努力和参与的一次性性质,可扩展性有限。
-
优点:深入分析、根据特定安全要求定制的全面测试以及与渗透测试专家的直接接触。
-
挑战:时间框架固定且评估范围有限,这可能会导致测试之间出现差距。
-
渗透测试即服务 (PTaaS): PTaaS 是一种基于云的模式,提供持续的渗透测试服务,通常与提供实时报告和协作的平台集成。它将自动化工具与人工主导的专业知识相结合。
-
频率:一种更主动的方法,允许持续或更频繁地检测和更新出现的漏洞。
-
可扩展性:高度可扩展,因为它利用自动化、云基础设施和混合模型(通过人工验证进行自动测试),能够在不同的环境中快速测试多种资产。
-
优点:可扩展、按需可访问、混合效率、便利性、提供实时洞察并允许进行持续的安全测试。
-
自动或持续渗透测试:使用自动化持续监控和测试系统漏洞,并通常与运行定期扫描的工具集成。
-
频率:提供持续或连续的评估,而不是定期测试。可用于持续渗透测试以验证安全措施和/或发现新出现的漏洞。
-
可扩展性:高度可扩展,因为它利用自动化实现跨不同环境的多种资产的快速测试。
-
优点:适合于重复性任务或高计算环境中企业的频繁测试,具有成本效益,并且非常适合覆盖大型攻击面和复杂的IT基础设施。
-
挑战:在识别需要人类直觉的复杂漏洞和独特攻击路径方面受到限制。
-
以人为主导的渗透测试:一种手动且范围明确的过程,其中经过认证的渗透测试专家模拟真实的攻击场景和 TTP,重点关注自动化工具可能遗漏的复杂漏洞。
-
频率:依靠人为驱动的方法,由经过认证的渗透测试专家探索潜在的攻击媒介。频率通常由项目主导且周期性。
-
可扩展性:高度定制以适应企业独特的环境和资产。但是,由于需要人工测试,可扩展性有限
-
优点:分析深入,灵活性强,发现复杂漏洞的成功率高。
-
挑战:比自动化方法更耗时、更昂贵。
攻击面上的渗透测试检查表#
高级渗透测试检查表#
创建详细的渗透测试清单对于执行全面有效的安全评估至关重要。第一个清单是一份通用但经过扩展的清单,它提供了一种结构化方法,以确保企业和 CREST 认证的渗透测试专家涵盖评估网络安全防御的所有关键领域。
-
设定明确的目标并定义范围
-
明确目标:设定渗透测试工作的简明目标,例如识别特定资产的弱点、合规性或安全审计、或事件后侦察。
-
定义范围:指定将要测试的系统、网络和应用程序,包括每个资产的测试类型(例如黑盒、白盒、灰盒)。
-
建立边界:设置参数以避免中断操作,例如不测试某些资产或将测试限制在营业时间之外。
-
组建渗透测试团队
-
建立一支技术精湛的团队:包括具有不同专业知识的认证专业人员,例如网络、应用程序安全或社会工程专家。
-
检查凭证:确保渗透测试专家具有相关认证,如 CREST、OSCP、OSWE、CEH 或 CISSP,以及实践经验。
-
获得必要的批准
-
获得正式授权:获得利益相关者的书面同意,详细说明并同意测试的范围、目标和局限性,以确保符合法律规定。
-
记录流程:记录审批流程的所有阶段,包括讨论和任何商定的条件。如果使用第三方渗透测试提供商,则应记录范围和流程并签字确认。
-
信息收集
-
分析目标:收集有关基础设施的全面信息,包括硬件、软件、网络设计和配置。
-
使用 OSINT:应用开源情报技术来收集有关企业在线状态和潜在弱点的更多见解。
-
生成渗透测试路线图
-
攻击面管理:使用 Nessus 或 OpenVAS 等工具运行自动扫描以识别漏洞,重点是在无需人工输入的情况下识别问题,从而创建渗透测试的初步路线图。
-
验证结果:可以验证这些扫描的结果以排除误报,了解每个潜在漏洞的真实背景和影响,并按严重程度进行分类,为渗透测试提供清晰的路线图。
-
创建威胁模型
-
识别潜在威胁:回顾最近的攻击和 TTP,考虑可能的攻击者(从随机黑客到更有针对性的攻击者)的可能的攻击路径、复杂的实体及其动机。
-
映射攻击媒介:根据企业环境和当前威胁形势,对攻击者可能入侵企业的方式进行优先排序。
-
模拟攻击
-
遵循结构化方法:系统地进行攻击,尝试利用弱点,绕过控制并在可能的情况下获得更高的权限。
-
遵守道德标准:确保测试由经过认证的专家按照标准化框架和合规标准进行,以最大限度地降低系统和数据的风险。
-
收集数据并分析结果
-
捕获证据:收集每次攻击的全面证据,例如通过屏幕截图的概念证明 (POC)、每个域的潜在攻击路径以及相关子域和 IP。
-
评估影响:评估每个漏洞的后果或影响,包括潜在的数据泄露、系统入侵和运营中断,并根据风险严重程度和潜在影响对调查结果进行优先排序。
-
准备并提交报告
-
记录调查结果:提供有关每个漏洞和技术描述、POC、风险严重性、潜在影响和补救建议的详细报告。
-
优先级:渗透测试或 PTaaS 提供商将与企业合作,根据风险对漏洞进行排名,并根据可用资源制定补救计划。
-
支持补救措施
-
可行的缓解措施:根据严重程度和影响提出如何缓解每个问题的明确建议。
-
重新测试:通过后续渗透测试验证补救措施的有效性,以确保问题得到解决。
-
与利益相关者沟通
-
展示结果:通过提供不采取行动的影响故事来分享调查结果。这是一种比提供漏洞清单更有效的策略。为非技术利益相关者总结关键风险和行动。
-
促进对话:参与讨论以解决有关报告和补救工作的任何疑虑或问题。
结论#
渗透测试检查表可确保采用一致、全面和系统的方法识别安全漏洞,从而为渗透测试专家及其组织提供服务。渗透测试检查表不遗余力,有助于渗透测试人员和利益相关者之间更好地沟通。它们清晰地概述了要测试和评估的内容以及如何评估结果。这种透明度有助于企业了解其安全状况并做出更明智的改进决策。
渗透测试检查表不仅能有效识别漏洞,还能确保采用系统性方法,使用最佳实践、工具和框架进行渗透测试。它们让渗透测试人员受益匪浅,因为它们向组织和利益相关者保证他们正在采取有意义的措施来保护资产。对于任何开展渗透测试即服务的组织来说,渗透测试检查表都是一个安全保障。
如需更详细的渗透测试清单,请单击此处获取全栈安全完整指南,其中包括 BreachLock 针对所有资产的综合渗透测试清单汇编。
原文始发于微信公众号(河南等级保护测评):全栈安全终极渗透测试清单
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论