当渗透测试成为一项管理任务时
渗透测试不仅需要在正式检查之前进行。当公司发布个人账户、API、移动或网络服务、改变网络边界、连接承包商、实施人工智能场景、准备审计、监管审查、启动 GIS/CII 或想要了解当前风险状况的真实程度时,它就成为一种管理工具。
此页面对于 CISO、CIO、IT 基础设施经理、安全开发和 DevSecOps 团队、电子商务、银行服务、政府门户、ERP 集成和公共 API 的所有者非常有用。一个好的渗透测试回答的不是“发现了多少漏洞”的问题,而是“哪种攻击路径对企业来说真正危险以及谁应该消除风险”的问题。
我们到底要检查什么?
网络和API
个人帐户、电子商务、客户端门户、REST/GraphQL API、集成、授权、业务逻辑、会话、文件上传、CORS、SSRF、IDOR/BOLA 和访问错误。
外周界
公共 IP、域、子域、VPN、WAF、TLS、管理服务、被遗忘的站、向外部开放的服务以及攻击者看到的技术痕迹。
内部环境
分段、权限、AD/LDAP、服务器、工作站、服务帐户、本地权限、网络路由以及在网络内横向移动的能力。
发布与变更
在启动新版本、迁移、发布 API、启用集成、替换 WAF/NGFW 或更改访问架构之前进行审查。
关键术语说明
| 学期 | 解码 | 如何使用 |
|---|---|---|
| VAPT | 漏洞评估和渗透测试。 | 扫描揭示了潜在的问题,渗透测试检查它们是否可以转化为真正的攻击场景。 |
| RoE | 工作规则。 | 确定检查边界、测试窗口、限制、接触、禁止行为以及工业环境存在风险时停止工作的程序。 |
| PoC | 研究结果可重复性的证据。 | 该报告表明,该风险不是假设的,而是以不泄露不必要的数据且不损害系统的方式构建的。 |
| CVE / CVSS / EPSS | CVE——漏洞标识符; CVSS——技术严重性评分; EPSS是现实世界中操作的概率。 | 帮助确定修复的优先级,并通过资产的业务重要性和运营环境进行补充。 |
| OWASP WSTG | OWASP Web 应用程序和 Web 服务测试指南。 | 用作 Web/API 检查的实用指南,但由特定的架构上下文进行补充。 |
| MITRE ATT&CK | 攻击者的战术和技术基础:侦察、初始访问、权限升级、网络内横向移动等阶段。 | 它不仅有助于将发现的结果描述为“漏洞”,而且还可以将其描述为可能的攻击链的一部分。 |
| SIEM / SOAR | SIEM 收集并关联安全事件; SOAR 自动响应。 | 根据渗透测试的结果,您可以配置检测场景、关联规则和响应场景。 |
RESTART 如何进行渗透测试
边界和规则
我们就目标、边界、工作窗口、关键服务、禁令、联系方式和升级程序达成一致。对于工业环境,我们预先设定了谨慎模式和停工条件。
侦察和目标地图
我们收集外部和内部上下文:域、API、角色、技术、网络区域、WAF、访问、测试帐户和关键业务场景。
测试与运行
我们将自动化工具和手动验证结合起来。主要关注点是可重复的攻击路径、逻辑错误、访问、配置和行动链。
有证据,没有不必要的风险
我们记录证据,以便客户了解风险的现实,但不会采取破坏性行为、大量下载数据和中断服务。
风险评估
我们根据技术严重性、利用可能性、业务影响、补偿措施的可用性以及补救的紧迫性来评估调查结果。
纠正计划和重新测试
我们为网络安全、IT、DevOps 和开发委派明确的任务,帮助整理复杂的调查结果并在纠正后进行重新检查。
渗透测试与邻近的工作有何不同?
| 格式 | 主要问题 | 何时选择 |
|---|---|---|
| 外部周边审计 | 公司在互联网上显示了什么以及哪些资产被遗忘? | 在进行渗透测试、启动漏洞管理流程、SOC 或重建网络边界之前。 |
| 漏洞评估 | 哪些漏洞和配置错误对工具可见并需要检查? | 用于定期监测、广泛覆盖和优先排序。 |
| 渗透测试 | 是否可以构建现实的攻击路径并验证风险? | 在发布、审核、启动关键服务之前或重大更改之后。 |
| 由攻击队检查 | 防御团队能够检测并阻止更现实的长期攻击吗? | 对于成熟的 SOC 和防御团队来说,当基本的卫生和渗透测试已经到位时。 |
| 复查 | 修复措施真的消除了风险吗? | 消除后,特别是对于关键和高发现。 |
企业得到什么?
当渗透测试的结果可用于做出决策时,渗透测试对于企业来说是有用的:发布前需要修复什么、需要预算的地方、暂时接受哪些风险、哪些产品或流程需要改进、哪些承包商应该关闭其责任范围。
减少停机和泄漏的风险
关键攻击链是在事件发生之前识别的,而不是在停止个人账户、API、支付流程或内部系统之后识别的。
清晰的管理语言
该报告不仅解释了技术问题,还解释了对数据、客户、运营和监管义务的潜在影响。
团队任务计划
网络安全、开发、基础设施和承包商收到可重复的调查结果、优先事项、建议和结束标准。
为成熟的网络安全做好准备
审计结果将成为 DevSecOps、VM、SOC、SIEM/SOAR、WAF、IAM/PAM、细分和架构审查的输入。
世界实践和俄罗斯背景
在 Web/API 检查中,RESTART 重点关注 OWASP Web Security Testing Guide 和 OWASP API Security Top 10 2023。对于技术测试过程有用 NIST SP 800-115:规划、实施、结果分析和风险降低策略。我们用逻辑来描述攻击链 MITRE ATT&CK Enterprise.
为了优先消除他们的帮助 FIRST CVSS, FIRST EPSS、漏洞利用数据、资产背景和业务流程关键性。在俄罗斯背景下,渗透测试尤其与 152-FZ、ISPDn、KII/187-FZ、GIS、威胁模型、FSTEC BDU、日志记录、消除控制和保护措施功能确认相关。
人工智能在渗透测试中的作用
人工智能可以加快准备和分析速度:对扫描结果进行分组,将结果与 OWASP、MITRE、CVE/CVSS/EPSS 关联起来,建议审计脚本,帮助起草报告,用人类语言解释风险并为不同团队准备补救建议。
但人工智能不应该自主地攻击工业环境、决定是否可以接受利用或取代人工检查。在 RESTART 项目中,人工智能在商定的循环中被用作助理工程师:访问限制、日志记录、来源验证以及专家对关键发现的强制验证。
交付成果
| 人工制品 | 如何使用 |
|---|---|
| 管理层简要总结 | 简要管理情况:关键风险、可能的影响、优先事项、快速行动和需要预算或所有者的决策。 |
| 技术报告 | 可重复的发现、受影响的资产、证据、风险评估、运营条件和补救建议。 |
| 故障排除任务寄存器 | 开发、基础设施、网络安全、DevOps 和承包商的任务,具有优先级、所有者逻辑和验收标准。 |
| 发现想法 | 可以添加到 SIEM/SOAR/SOC 中的内容:事件、相关性、检测场景、响应场景、场景重复控制。 |
| 复试笔记 | 复检结果:已关闭、部分关闭、风险依然存在、需要进行架构变更或采取补偿措施。 |
其中 pentest 包含在其他 RESTART 项目中
Pentest 很少独自生活。它有助于验证网络架构、安全开发流程、SOC 准备情况、WAF/AntiDDoS 质量、GIS/CIS 安全性、API 正确性以及漏洞管理计划的可行性。因此,RESTART将渗透测试的结果与信息保护系统的架构、实施、开发任务计划以及修正后的维护联系起来。
常见问题
Pentest 对于工业环境安全吗?
只有正确商定规则,它才能安全。我们记录检查边界、工作窗口、禁止行为、接触者、停止工作的条件以及关键服务的谨慎模式。未经批准,不得实施破坏性检验。
渗透测试与漏洞扫描有何不同?
扫描仪发现问题迹象。渗透测试检查问题是否可以在真实的攻击链中被利用、需要哪些访问权限、哪些数据或系统受到影响以及风险对业务的重要性。
需要测试帐户吗?
对于 Web/API 和内部场景,通常是的:用户、操作员、管理员或承包商角色允许您测试水平和垂直权限升级、业务逻辑和访问错误。
一份好的报告应该包括哪些内容?
不仅仅是 CVE 列表。需要可重复的步骤、受影响的资产、证据、风险评估、业务背景、建议、优先级、修复所有者和重新验证标准。
可以在发布前启动吗?
是的。对于发布,通常会选择有限的验证边界:关键用户场景、API、授权、使用文件、支付、角色、集成以及最危险的 OWASP 风险类别。
RESTART 只能发现漏洞还是帮助修复漏洞?
我们帮助解决结果:我们与团队讨论调查结果,提出架构和应用程序修复方案,将结果与 DevSecOps、WAF、SIEM/SOAR、VM 连接起来并进行重新检查。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
