解决笔测试周围缺乏知识

绝大多数攻击者都是机会主义罪犯,寻求容易的目标,以最大限度地提高他们的利润。如果防御是足够的强化,发现一种方式将是如此困难和耗时,除了最精英国家级威胁演员将放弃并寻找更容易的猎物。

笔测试

渗透测试是实现这一安全水平最有效的方法之一。道德黑客团队可以发现和关闭模糊的攻击路径,标准漏洞扫描方法未命中,但对手可能会剥削。

尽管有其价值,我们发现了 渗透测试 在安全行业之外众所周知。这是在2019年突出的,当时两次渗透测试人员举办了一个包括IOWA Courthouse的物理安全的练习被捕,并被指控入室盗窃和侵犯。

缺乏渗透测试知识

作为TrustWave的总监 蜘蛛侠 在EMEA中,我发现很多时间都在解释了渗透测试,它如何与漏洞扫描不同,以及最重要的是,为什么它值得投资。水域也被混淆了笔测试的趋势。红色组织,这既越来越宽阔,更昂贵。

大多数组织以严格的安全预算运作,笔测试的人为元素使其比标准自动漏洞扫描和管理工具更昂贵。如果没有清楚地了解深入的笔测试产生的价值,很容易看出为什么非技术高管和板更愿意在更低的成本自动化工具上签署。

基线安全

自动化流程,如资产管理和漏洞扫描是必不可少的基线活动,应该是每个公司的安全策略的一部分。经常扫描将发现新的和现有漏洞,并帮助安全团队优先考虑修补和关闭最危险的问题,然后才能在攻击中被利用。

当涉及到云中设置和管理的其他资产时,这尤为重要。常见的安全问题(如过时的软件或错误配置数据库)和用户权限所带来的风险在云环境中大大放大,因为威胁演员更可访问。例如,我们通常遇到像Amazon S3 Buckets这样的问题,这些问题不需要访问用户凭据。这意味着可以找到它们中的任何数据,任何人都可以找到它 - 自动机器人的一项琐碎的任务。

自动扫描和管理工具是一种有效且经济高效的方法来找到这些问题。但是,企业也必须看看更多的动手,以提高其安全成熟度。

下一步安全

笔测试是 下一个逻辑步骤,重点是找到最初始扫描可能错过的更复杂的问题。笔测试中未发现的一些最常见的威胁是基于逻辑的错误,其需要一定程度的实验和组合不同技术的多阶段攻击。

寻找和利用这些差距需要人类的体验和直觉,仍然在掌握中掌握最先进的机器学习动力的分析工具。通过笔测试发现的问题通常超出简单的软件更新,可能需要更改操作流程和员工培训。

对于商业决策者来说,重要的是,这不是一个/或情景 - 理想情况下,他们应该部署自动扫描和笔测试。前者会发现可以通过常见的恶意软件和攻击技术利用的大部分漏洞,但后者必须揭示将被更高级攻击者利用的隐藏问题。

解决这些安全差距是企业推进其安全成熟度的重要一步。然而,非技术高管之间仍然存在趋势,以假设通过投资最新的闪亮技术可以解决安全问题 - 忽略了对人和流程的需要。

良好的规划对于笔测试至关重要

如果使用合适的流程实施,则钢笔测试只会真正有效,包括准备和随访。

在进行测试之前,重要的是要彻底记录范围和边界。这包括保障和流程,以涵盖可能导致发现的任何问题,特别是当涉及社会工程和物理安全时。

我们向我们的团队提供解释他们的目的以及在业务中联系以避免像爱荷华逮捕一样的情景。然而,虽然组织的某人必须意识到笔测试人员可能正在做的一切,但它是理想的,即尽可能少的人知道它。

一旦笔测试结果进入,有一个明确的策略也很重要。组织通常在票据测试揭发的问题数量上进行修复(通常比他们期望的数量更大)。仅此信息是无用的,并且应优先实施执行行动计划以关闭这些差距。

鉴于潜在威胁的巨大变化,笔测试的结果可能会感到压倒性和透露。然而,即使出土了大量问题,笔测试团队也可以帮助首先解决该问题。

理想情况下,应将常规笔测试作为本组织的安全策略的一部分,因为它已成熟。需要进行一次测试的频率因公司的独特结构和风险概况而变化大大变化 - 表明,每年执行它们通常是一个良好的开端。我们还建议在实施主要的基础设施更改时进行ad-hoc测试。

与此同时,应该有一个相当持续的自动化活动。例如,资产管理应该是日常发生,而漏洞扫描可以季度,每月甚至每周进行,具体取决于公司的风险概况和资源。

跟上不断发展的威胁

网络威胁景观是惊人的快速移动,并且任何测试人员都可以做的最糟糕的事情就是站立。对手不断创新他们的攻击技术,通常专门通过自动扫描工具逃避检测。笔测试人在跟上这些发展策略方面发挥着重要作用,我们在去年遇到了几个趋势,表明人类触摸比以往任何时候都更重要。

被链式的漏洞是一个这样一个越来越多的问题,攻击者将多个低级漏洞链接在一起以实现意外结果。自动化工具无法制作相同的逻辑跳跃,因此识别这些差距需要人类直觉。例如,TrustWave Pen测试仪发现,可以利用网站上的安全问题来发现用户名,因为如果输入了正版名称,则会重复问题。从这里,攻击者可以蛮力进入密码重置屏幕并访问该帐户。

IOT是另一个不断增长的关注领域。市场正在迅速增长,并继续持有臭名昭着的安全标准。经过普遍存在的操作系统,测试不足,更新,系统通常是相当混乱的,并且开放,以便漏洞。此外,许多IOT设备也接触到物理安全威胁。

我们的调查员经常发现可以直接访问的设备,例如公务售货亭终端。直接插入允许对手以绕过安全层,以至于大多数自动化扫描工具无法预测。

经验丰富的人员在整合开源智能方面也发挥着关键作用(over.)进入安全策略。 OSINT包括易于使用的数据,例如来自社交媒体的信息,以及来自漏洞的数据以及开放和暗网上的泄漏。

攻击者越来越擅长擦除并使用自动化工具汇总此信息,并使用它来拉出更有效的目标罢工。防御者还可以使用自动化工具来收集和整理相同的信息,而笔测试仪可以通过查找,测试和关闭潜在漏洞进一步采取措施。

由于威胁演员继续发展和创新他们的 攻击策略,组织需要只有熟练的从业者可以提供的直觉。通过经验丰富的人员偶尔深潜能补充了自动安全扫描的常规Drumbeat,组织可以建立防御以查看任何威胁水平。

分享这个