解决有关笔测试的知识不足

绝大多数攻击者是机会主义罪犯,他们在寻找容易实现的目标以最大程度地牟取暴利。如果防御能力得到充分加强,找到一条路将是困难而费时的,除了最精英的国家和国家级威胁行动者之外,所有其他人都将放弃并寻找更容易的猎物。

笔测试

渗透测试是达到此安全级别的最有效方法之一。一个道德黑客团队可以发现并关闭标准漏洞扫描方法会漏掉但攻击者可能利用的晦涩的攻击路径。

尽管它具有价值,但我们发现 渗透测试 在安全行业之外人们对此知之甚少。这在2019年得到了强调,当时两名渗透测试员进行了一项包括测试爱荷华州法院大楼的物理安全性的演习,并被指控犯有盗窃和侵入罪。

缺乏渗透测试知识

作为Trustwave的主管 蜘蛛实验室 在EMEA中,我花费了大量时间来解释什么是渗透测试,它与漏洞扫描有何不同,最重要的是,为什么值得进行投资。混用笔测试与红队,这既扩张又昂贵。

大多数组织在严格的安全预算下运作,笔测试的人为因素使其比标准的自动漏洞扫描和管理工具昂贵得多。如果不对深入的笔测试产生的价值有清晰的了解,就很容易理解为什么非技术主管和董事会更愿意签下低成本自动化工具。

基准安全

资产管理和漏洞扫描等自动化流程是必不可少的基本活动,应作为每家公司安全策略的一部分。定期扫描将发现新的和现有的漏洞,并帮助安全团队确定补丁程序的优先级并关闭最危险的问题,然后才能将其用于攻击。

当涉及在云中设置和管理的数据库和其他资产时,这一点尤其重要。常见的安全问题(例如过时的软件或配置错误的数据库以及用户权限)带来的风险在云环境中被大大放大,因为威胁参与者更容易访问它们。例如,我们经常遇到诸如Amazon S3存储桶之类的问题,这些问题不需要用户凭证即可访问。这意味着任何人都可以访问其中的任何数据,这对于自动化机器人来说是一项微不足道的任务。

自动化的扫描和管理工具是发现这些问题的有效且具有成本效益的方式。但是,企业还必须考虑采用更实际的方法来提高其安全性。

安全的下一步

笔测试是 下一个逻辑步骤,着重于寻找可能会被初始扫描遗漏的更复杂的问题。笔测试发现的一些最常见的威胁是基于逻辑的错误,需要一定程度的实验和结合了不同技术的多阶段攻击。

寻找和利用这些差距需要人类的经验和直觉,即使是最先进的以机器学习为动力的分析工具也仍然无法做到这一点。通过笔测试发现的问题通常不仅限于简单的软件更新,还可能需要更改操作流程和员工培训。

对于业务决策者来说,了解这不是一个非此即彼的方案非常重要–理想情况下,他们应该同时部署自动扫描和笔测试。前者将发现可以由常见恶意软件和攻击技术利用的大量漏洞,而后者则需要发现将由更高级的攻击者利用的隐藏问题。

解决这些安全漏洞是企业提高安全成熟度的重要一步。但是,非技术主管们仍然倾向于认为,可以通过投资最新的闪亮技术来解决安全问题,而忽略了也需要考虑人员和流程的问题。

良好的计划对于笔测试至关重要

笔测试只有通过正确的流程(包括准备和后续流程)实施,才能真正有效。

在进行测试之前,重要的是要彻底记录范围和边界。这包括保障措施和程序,以涵盖可能导致发现的任何问题,尤其是涉及社会工程和物理安全时。

我们为我们的团队提供了“摆脱监狱”卡,其中阐明了他们的目的以及与该业务联系的人,以避免像爱荷华州被捕那样的情况。但是,尽管组织中​​的某人必须知道笔测试人员可能正在做的所有事情,但最好是尽可能少的人对此有所了解。

制定笔测试结果后制定清晰的后续策略也很重要。组织通常将注意力集中在笔测试发现的问题数量上(通常比预期的要多)。单靠这些信息是无用的,应优先执行一项行动计划以弥合这些差距。

鉴于潜在威胁的巨大差异,笔测试的结果可能让人感到压抑和沮丧。但是,即使发现了大量问题,笔测试团队也可以帮助确定优先解决的问题。

理想情况下,随着组织的成熟,应该安排定期的笔测试作为组织安全策略的一部分。取决于公司的独特结构和风险状况,需要多长时间进行一次测试-也就是说,每年进行一次测试通常是一个好的开始。我们还建议在实施重大基础架构更改时进行临时测试。

同时,应该有相当连续的自动化活动水平。例如,资产管理应该每天都在进行,而漏洞扫描可以每季度,每月甚至每周进行一次,具体取决于公司的风险状况和资源。

跟上不断发展的威胁

众所周知,网络威胁形势瞬息万变,测试人员所能做的最糟糕的事情就是停滞不前。对手不断创新其攻击技术,通常专门用于逃避自动扫描工具的检测。笔测试人员在跟上这些不断发展的策略方面发挥着至关重要的作用,并且在过去的一年中,我们遇到了几种趋势,这些趋势表明人的手感比以往任何时候都更加重要。

链接式漏洞就是这样一个日益严重的问题,攻击者将多个低级漏洞链接在一起,以实现意想不到的结果。自动化工具无法实现同样的逻辑飞跃,因此识别这些差距需要人类的直觉。例如,Trustwave笔测试器发现可以利用网站上的安全问题表格来发现用户名,因为如果输入了真实名称,则会重复出现问题。攻击者可以从此处强行进入密码重设屏幕并访问该帐户。

物联网是另一个令人关注的增长领域。市场正在迅速增长,并继续保持着低水平的安全性。普遍存在未经测试且难以更新的操作系统,并且系统通常相当混乱并且容易受到连锁漏洞的影响。此外,许多物联网设备也面临物理安全威胁。

我们的调查人员经常发现可以直接访问的设备,例如公共信息亭终端。直接插入可以使对手以大多数自动化扫描工具无法预测的方式绕过安全层。

经验丰富的人员在集成开源情报方面也起着关键作用(OSINT)纳入安全策略。 OSINT包括随时可用的数据,例如来自社交媒体的信息,以及来自开放和黑暗网络上的漏洞和泄漏的数据。

攻击者变得越来越善于使用自动化工具来抓取和汇总此信息,并使用它来实施更有效的针对性打击。防御者还可以使用自动化工具来收集和整理相同的信息,而笔测试者可以通过发现,测试和消除潜在漏洞来进一步发展。

随着威胁参与者不断发展和创新, 攻击策略,组织需要只有熟练的从业人员才能提供的直觉。在定期定期进行自动安全扫描的过程中,加上经验丰富的人员偶尔进行的深潜,组织可以建立防御措施,以防御任何级别的威胁。

分享这个