渗透测试可以带来什么效果(提高渗透测试的价值)
渗透测试可以带来什么效果(提高渗透测试的价值)技能和经验是下一个最重要的标准。寻找拥有CREST或OSCP认证的测试人员团队的公司。此外,请询问执行测试的测试人员的 BIOS,并查找通过 CVE 编号发现的漏洞或参与可归因于渗透测试供应商或渗透测试人员的漏洞赏金计划的提及。技能价格这是最不重要的考虑因素。大多数渗透测试的参与率非常相似,有廉价、高端和铂金版本。此外,寻找将发现的漏洞的重新测试捆绑到价格中的供应商。如果不包括在内,则可能增加初始测试成本的10%至20%,具体取决于供应商和测试类型。
定期渗透测试或渗透测试是通过使用与攻击者相同的工具、技术和程序来模拟网络攻击来了解组织安全状况的重要组成部分。渗透测试的结果可以帮助您识别安全控制中的风险和差距。通过在攻击者发现问题之前识别和修复问题,可以确保应用程序和基础结构的持续安全性和保护。不幸的是,由于范围界定不明确、目标定义不清和测试不切实际,许多渗透测试没有达到预期的结果。如何从渗透测试中投资的资金中获得最大价值呢?
1:明智地选择渗透测试供应商。
选择价格合理、技术娴熟、具有良好业绩记录和高质量、可用可交付成果的渗透测试供应商将有助于确保高质量的结果,并为更深入的测试或进一步的测试留出一些预算。
选择渗透测试供应商时,有三个主要考虑因素:价格、技能/经验和报告质量。
价格
这是最不重要的考虑因素。大多数渗透测试的参与率非常相似,有廉价、高端和铂金版本。
此外,寻找将发现的漏洞的重新测试捆绑到价格中的供应商。如果不包括在内,则可能增加初始测试成本的10%至20%,具体取决于供应商和测试类型。
技能
技能和经验是下一个最重要的标准。寻找拥有CREST或OSCP认证的测试人员团队的公司。此外,请询问执行测试的测试人员的 BIOS,并查找通过 CVE 编号发现的漏洞或参与可归因于渗透测试供应商或渗透测试人员的漏洞赏金计划的提及。
报告
在选择渗透测试供应商时,报告的质量是最重要的标准,只要他们有足够的熟练测试人员。这是您的组织在测试人员继续进行下一次参与时将留下的报告。
渗透测试是昂贵的,在渗透测试报告中提供的"建议"通常是毫无价值和危言耸听的。我知道;我过去写过相当多的渗透测试报告。诸如"实施最佳实践"之类的术语无助于推动提升组织安全态势所需的更改。
查找提供实用的修正建议(包括配置和代码段)的报告。最重要的是查看样本报告,了解危言耸听的发现,例如标记为"高风险"的cookie标志。具有危言耸听结果的报告无助于帮助您推动组织中的补救措施。
此外,寻找通过与您的系统集成来进一步提供报告的供应商,以针对他们发现的问题提出票证,或者提供黑客攻击视频的供应商,这可以显示攻击者如何简单地利用技术安全问题。
2:执行白盒测试以节省时间和金钱。
在白盒测试中,您可以为渗透测试人员提供有关目标环境的详细信息,包括域/子域,主机名,IP地址,网络图,不同权限级别的帐户,Swagger / OpenAPI定义,甚至对源代码的访问。通过白盒测试方法显著减少或消除信息收集、侦察和发现阶段,可以显著减少时间和成本。
白盒测试遵循"假设违规"的心态,为渗透测试人员提供访问权限,允许他们执行测试用例,例如权限提升,横向移动和敏感系统或数据的识别。
3:执行黑盒测试以发现实际周长。
在黑盒测试中,您可以向渗透测试人员提供有关目标的最少信息,例如,域名、IP 或主机名、IP 子网,或尽可能少地提供公司名称。这种类型的测试适用于模拟针对性攻击,例如高级持续性威胁或APT。
黑盒测试也是发现影子IT的好方法。您知道所有注册域名吗?您的 IP 地址空间如何?您是否知道您的组织正在使用哪些云平台?您是否知道您的组织使用的所有系统都在哪里?
你可能会自信地说"是",但你可能会对黑匣子测试的结果感到惊讶:打开你不知道的域、云使用情况、SaaS和影子IT。请记住,您无法保护您不知道的内容。
为您的钱寻找最大的收益
正确界定渗透测试的范围是从渗透测试投资中提取最大价值的关键。
4:不要将渗透测试程序用作昂贵的漏洞扫描程序。
如果您的组织没有最新的补丁,为什么会使用渗透测试仪作为昂贵的人类漏洞扫描程序?为什么要使用渗透测试人员来告诉您您的漏洞管理程序已经可以告诉您的内容?
例如,如果您让一个体面的渗透测试人员访问大多数未使用关键补丁更新的内部网络,那么他们应该在一天内拥有Windows域管理员。
对未使用最新补丁的内部网络进行基础设施渗透测试将生成厚厚的渗透测试报告,几乎可以保证利用。应确保有针对性地进行渗透测试,如以下提示所示。
5:选择用户定义的测试用例以识别公司特定的漏洞。
大多数渗透测试组织将在其工作说明中定义标准测试用例,通常是OWASP前10名。虽然这些都是重要的测试用例,但作为您业务中的安全专业人员,您将对测试的系统产生疑虑,疑虑或已知风险。您可以将这些转换为测试用例,并在确定测试范围时将其提供给渗透测试供应商。
在典型的公司特定测试用例中,我将要求在应用程序中包括权限提升。对于财务应用程序,我将请求一系列否定或基于欺诈的测试用例,例如付款中的负金额。
此外,不要忘记包括以前通过违规、威胁情报或渗透测试发现的漏洞派生的测试用例。
6:选择基于目标的测试以针对特定测试用例。
基于目标的测试为测试人员设定了一个明确的目标 - 这并不奇怪。目标是针对特定的测试用例或威胁执行。渗透测试人员可以访问CEO的笔记本电脑吗?他们能否访问 SAP 工资单?
基于目标的测试有助于验证或否定有关所选目标的控制功效或风险可能性的内部假设。
原文转自databreachtoday,作者Charles Gillman,超级科技译,合作站点转载请注明出处和原文译者为超级科技!
Hi,我是超级科技
超级科技是信息安全专家,能无上限防御DDos攻击和CC攻击,阿里云战略合作伙伴!