风险管理如何使笔测试更有效
![风险管理如何使笔测试更有效](http://www.yyueer.com/de/sites/default/files/images/articles/How%20Exposure%20Management%20Can%20Make%20Pen%20Testing%20More%20Effective.jpeg)
笔测试需要补充了常规漏洞扫描安排捡起变化,随着时间的推移,可能会引入漏洞来提高整个流程的效率和减少开销成本在渗透测试过程中。
在我的工作作为一个进攻安全认证的专业,我有机会有一个前排座位,一些政府机构面临的挑战,因为他们减少网络风险,特别是当涉及到渗透测试的作用。在渗透测试是一项基本练习良好的网络卫生的一部分,它是昂贵的和只提供了一个时间点评估。
政府机构寻求使用笔测试面临障碍采购、测试范围和较长时间缺乏资源来执行对所有内部和外部系统渗透测试。在我看来,笔测试需要补充了常规漏洞扫描安排捡起变化,随着时间的推移,可能会引入漏洞来提高整个流程的效率和减少开销成本在渗透测试过程中。
很重要把笔测试与定期修补操作系统,软件和应用程序。然而,即使是最新的系统可以通过配置错误和糟糕的编码实践。
在我的经验里,大型组织优先解决发展中主动合规为代价和预防方法,像常规漏洞扫描。在一天结束的时候,攻击者不断寻找在你的系统漏洞。所以,如果你不是做同样的在一个正在进行的基础上,你已经落后于攻击者。
最近,我有机会帮助一个大的联邦政府机构与风险管理工作使用的安全中心(原Tenable.sc)。这被证明是一个非常有效的脆弱性管理工具,帮助该机构在规模快速识别漏洞,发现未知的资产在多个系统和修复安全漏洞。但并不只是帮助该机构的漏洞管理团队。成立安全中心支持其他球队在进攻上的各种任务,防守、合规和风险领域显著降低风险。例如,成立安全中心的审计扫描功能允许我们评估标准操作环境之间的滑移金色图片和住的地方离预先配置的端点,以确保没有漂移硬化和兼容的解决方案。
接触管理如何使渗透测试更有效
渗透测试人员不只是攻击系统。还有许多其他组件组成一个渗透测试,包括:
- 在目标系统范围或变更;
- 理解系统的各个组件以及它们如何与其他系统或集成技术来确定攻击者的角度和测试用例;
- 确定负责任的分支;
- 写一个渗透测试计划;
- 黑客攻击;
- 写一个报告;和
- 重新测试结果一旦补丁或缓解措施被应用。
渗透测试人员专注于黑客的部分,特别是利用一系列复杂的漏洞或连接在一起,多个漏洞以独特的方式向客户展示的影响。这就是我们的技能。剩下的是一个耗时的必要性,特别是在机构不使用漏洞管理工具来管理风险。它帮助其他地区的渗透测试过程中站得住脚的安全中心的力量真正照射到最终给测试人员更好的信息和更多的时间来攻击,导致高质量的结果。
例如,在庞大的联邦政府机构,成立安全中心允许我和其他渗透测试人员精简我们的工作并为窃听了更多的空闲时间。因为系统已接受常规漏洞扫描,我们知道马上组件由什么系统,使用的技术和机构分支机构拥有资产。我们能够完成这一切之前,第一个范围的会议。
的优势?大部分的枚举和低垂的果实已经确认,我们可以很容易地得到一个测试计划,开始攻击。这给了我们更多的时间专注于复杂的测试用例并展示更大影响的事件我们发现攻击者利用的漏洞。渗透测试报告发表后,当时也可以依靠常规漏洞扫描验证的结果是固定的。在成立安全中心进行Nessus远程和本地扫描可以大大有助于减少时间和精力来确定这些常见的问题,而不依赖于渗透测试人员来执行这项工作。
这给我们的团队更多的时间专注于重要的东西。
保持最新的技术和常见的漏洞和风险敞口(cf)是一个具有挑战性的任务。关于成立安全中心的另一大好处是每天发布的插件。逆向工程这些插件——例如,分析交通他们通过网络发送到目标主机,证明是一种有效的方法来理解一些最新的漏洞以及它们如何能被利用。在某些情况下,插件的源代码(Nessus攻击脚本语言)也共享,因为它使用一个熟悉脚本风格,插件可以很容易地定制适合该机构的执行独特的操作环境和目标。
此外,某些问题出现的时候。重要的是要知道我看过的渗透三个例子:
- 一个工程师团队禁用网络驱动器上的身份验证当工作在一个特定的项目
- 许多旧的和过时的退役服务器突然换了偶然,暴露脆弱的网络系统可以允许攻击者横向移动
- 项目团队成功解决问题他们只发现(如打开JMX认证)有漏洞无意中重新数周或数月后通过回滚更改。
这些类型的回归不是快速检测到没有持续风险管理。然而,大多数很少渗透测试完成,有时一年以上测试之间的差距。成立安全中心可以帮助笔测试团队驾驭的漏洞或重新测试并验证其状态每天或每周和生成易于使用的仪表板,保持渗透测试团队通知。
关键外卖来提高网络安全态势
- 实现一个程序内部和外部系统的漏洞扫描的能力。使用工具像站得住脚的安全中心,这可以在短时间内启动和运行,快速提供可操作的项目,减少网络曝光,从攻击者保持关键数据和系统的安全。
- 知道你的资产。最伟大的阻断剂改善网络安全仅仅是不知道你在你的网络系统。成立安全中心不仅被用来寻找漏洞,它也可以用来找到你丢了的,不被爱和被遗忘的资产。
- 记住上面的两点,值得注意的是,许多合规框架(如国家标准与技术研究院)要求组织保持库存以及不断扫描漏洞。
- 保持系统及时了解最新的操作系统,软件和补丁。代理或受到信任扫描设计旨在识别脆弱的和过时的版本,可以帮助你识别的缺点在现有补丁管理周期。
- 对高资产执行渗透测试。这将提供一个深刻的理解在一个特定系统的漏洞以及如何修复它们。渗透测试之间,不断进行漏洞扫描与影响力的系统,确保随时间变化不引入新的或以前修复漏洞。
结论
回顾一下,这里有各种方式站得住脚的安全中心辅助我们的笔测试工作。
成立安全中心 |
漏洞扫描 |
发现扫描 |
审计扫描 |
✓ |
✓ |
✓ |
|
渗透测试 |
✓ |
✓ |
- - - - - - |
合规 |
✓ |
✓ |
✓ |
治理和风险 |
✓ |
✓ |
✓ |
安全操作中心 |
✓ |
✓ |
- - - - - - |
来源:成立,2023年6月
相关文章
- 风险管理
- 政府
- 渗透测试