属于我们的{series}系列
阅读完整指南企业渗透测试指南:范围、方法和补救措施
渗透测试 (pentest) 模拟针对您的系统的真实攻击,以便在攻击者之前发现漏洞。与自动漏洞扫描不同,渗透测试涉及熟练的安全专业人员,他们像攻击者一样思考,将漏洞链接在一起,并以自动化工具无法做到的方式测试您的防御。
Coalfire 研究表明,73% 的渗透测试至少发现一个关键漏洞,42% 的渗透测试找到了彻底破坏系统的路径。然而,许多组织的渗透测试表现不佳——范围太窄,选择了错误的供应商,或者未能根据结果采取行动。本指南可确保您从渗透测试投资中获得最大价值。
渗透测试的类型
| 类型 | 范围 | 典型持续时间 | 成本范围 |
|---|---|---|---|
| 外部网络 | 面向互联网的系统和服务 | 3-5天 | 5000 美元至 25000 美元 |
| 内部网络 | 可从网络内部访问的系统 | 3-7 天 | 8000 美元至 30000 美元 |
| 网络应用 | 特定网络应用 | 每个应用程序 3-10 天 | 每个应用程序 5,000 美元至 20,000 美元 |
| 移动应用 | iOS 和/或 Android 应用程序 | 每个平台 3-7 天 | 每个平台 5,000 美元至 15,000 美元 |
| 社会工程 | 网络钓鱼、网络钓鱼、物理测试 | 5-10 天 | 5000 美元至 20000 美元 |
| 红队 | 完整的对手模拟(所有方法) | 2-4 周 | 3 万美元至 10 万美元以上 |
| 云安全 | AWS/Azure/GCP 配置和服务 | 3-7 天 | 8000 美元至 25000 美元 |
| API测试 | API 端点和身份验证 | 3-5天 | 5,000 美元至 15,000 美元 |
知识水平
| 水平 | 描述 | 模拟 |
|---|---|---|
| 黑匣子 | 测试者没有关于目标的信息 | 不了解内部情况的外部攻击者 |
| 灰盒 | 测试人员有一些信息(凭证、架构文档) | 获得初始访问权限的攻击者 |
| 白盒 | 测试人员可以完全访问源代码和架构 | 内部威胁,全面评估 |
确定渗透测试的范围
第 1 步:定义目标
| 目标 | 测试类型 | 优先 |
|---|---|---|
| 遵守 PCI DSS 要求 11.3 | 外部+内部网络 | 监管 |
| 启动前验证新应用程序的安全性 | 网络应用 | 高 |
| 测试员工对网络钓鱼的敏感度 | 社会工程 | 中等 |
| 董事会会议前的全面对手模拟 | 红队 | 战略 |
| 验证云安全态势 | 云安全评估 | 高 |
第 2 步:定义范围
包括:
- 所有面向互联网的 IP 地址和域
- 关键内部系统(ERP、HR、财务)
- Web 应用程序(生产 URL)
- API端点
- 云环境和服务
- 认证机制
排除(有理由):
- 您不拥有的第三方托管服务
- 正在积极开发的系统(改为测试阶段)
- 高峰营业时间的生产系统(安排非工作时间)
- 破坏性测试(DoS、数据破坏),除非特别授权
第 3 步:设定参与规则
在测试开始之前记录这些:
| 规则 | 规格 |
|---|---|
| 测试窗口 | 工作日下午 6 点至早上 6 点,周末随时 |
| 紧急联系方式 | [姓名、电话] 如果测试造成中断 |
| 禁区系统 | [从未测试过的系统列表] |
| 数据处理 | 测试人员可以访问但不能泄露真实数据 |
| 社会工程范围 | 仅电子邮件网络钓鱼,无物理访问测试 |
| 开采深度 | 证明访问权限但不修改生产数据 |
| 通讯频率 | 每日状态更新,重大发现立即通知 |
选择渗透测试供应商
评估标准
| 标准 | 重量 | 要问的问题 |
|---|---|---|
| 认证 | 20% | 团队成员中有 OSCP、CREST、GPEN、CEH? |
| 经验 | 25% | 从业多年?行业经验?类似的约定? |
| 方法论 | 20% | 什么方法(OWASP、PTES、NIST)?他们如何测试? |
| 报告质量 | 15% | 你能看一下报告样本吗?包括补救指导吗? |
| 参考文献 | 10% | 您能与 3 位过去的客户交谈吗? |
| 保险 | 10% | 目前的职业责任和网络保险? |
危险信号
- 供应商仅建议自动扫描(不是真正的渗透测试)
- 没有指定具有公认认证的测试人员
- 极低的价格(多日参与<3K 美元)
- 没有参与讨论规则
- 报告模板没有补救指导
- 供应商无法解释他们的方法
了解您的渗透测试报告
漏洞严重程度评级
| 严重性 | CVSS 分数 | 描述 | 补救时间表 |
|---|---|---|---|
| 关键 | 9.0-10.0 | 系统可能立即受到攻击 | 48小时内 |
| 高 | 7.0-8.9 | 重大安全影响 | 2 周内 |
| 中等 | 4.0-6.9 | 中等影响,可能需要特定条件 | 30 天内 |
| 低 | 0.1-3.9 | 影响较小,可利用性有限 | 90 天内 |
| 信息 | 0 | 最佳实践建议 | 下次定期维护 |
一份好的报告包含哪些内容
- 执行摘要 --- 业务风险语言,而不是技术术语
- 方法 --- 测试了什么以及如何测试
- 调查结果 的严重性、证据和业务影响
- 针对每项发现的补救指南(具体、可操作)
- 积极的发现 --- 你做得好的方面
- 安全改进的战略建议
- 附录包含原始数据和详细的技术证据
修复过程
第 1 步:分类(第 1-2 天)
- 与 IT 和安全团队一起审查所有调查结果
- 验证结果(确认它们是真实的,而不是误报)
- 为每个发现分配所有者
- 根据严重性和业务风险确定优先级
第 2 步:计划(第 3-7 天)
| 寻找 | 业主 | 修复方法 | 时间轴 | 依赖关系 |
|---|---|---|---|---|
| 登录中的 SQL 注入 | 开发主管 | 输入验证+参数化查询 | 48小时 | 无 |
| 默认管理员密码 | IT管理员 | 密码轮换+策略执行 | 24小时 | 无 |
| 内部 API 缺少 TLS | 平台团队 | 证书部署 | 2 周 | 证书采购 |
| 过时的服务器操作系统 | IT 运营 | 补丁调度 | 30 天 | 更改窗口 |
第 3 步:修复(有所不同)
- 立即修复严重和严重的问题
- 将中等发现分组到下一个维护窗口中
- 安排下个季度的低调查结果
步骤 4:验证(修复后)
- 请求对关键和高发现值进行重新测试(大多数供应商都进行有限的重新测试)
- 记录补救措施的证据
- 更新风险登记册
渗透测试时间表
| 评估 | 频率 | 触发 |
|---|---|---|
| 外部网络 | 每年(最少) | 同样是在基础设施发生重大变化之后 |
| 网络应用 | 每年+主要发布之前 | 新应用上线,重大更新 |
| 内部网络 | 每年 | 办公网络变更后也是如此 |
| 云安全 | 每年 | 同样是在云架构发生重大变化之后 |
| 社会工程 | 每两年一次 | 正在进行的网络钓鱼模拟对此进行了补充 |
| 红队 | 每 2 年 | 重大安全投资后的董事会级保证 |
相关资源
- 事件响应计划模板 --- 漏洞被利用时该怎么办
- 零信任实施指南 --- 架构防御
- 云安全最佳实践 --- 云特定的安全
- API 安全和身份验证 --- 保护渗透测试目标的 API
渗透测试是对您的安全程序的现实检查。它揭示了您认为的安全状况与攻击者会发现的安全状况之间的差距。 联系 ECOSIRE 进行安全评估和渗透测试协调。
E
作者
ECOSIRE Research and Development Team
在 ECOSIRE 构建企业级数字产品。分享关于 Odoo 集成、电商自动化和 AI 驱动商业解决方案的洞见。
相关文章
更多来自{series}
AI代理安全最佳实践:保护自治系统
确保 AI 代理安全的综合指南,涵盖即时注入防御、权限边界、数据保护、审计日志记录和操作安全。
中小企业云安全最佳实践:无需安全团队即可保护您的云
通过 IAM、数据保护、监控和合规性的实用最佳实践来保护您的云基础设施,中小企业无需专门的安全团队即可实施这些实践。
按地区划分的网络安全监管要求:全球企业合规地图
了解美国、欧盟、英国、亚太地区和中东的网络安全法规。涵盖 NIS2、DORA、SEC 规则、关键基础设施要求和合规时间表。
端点安全管理:保护组织中的每台设备
通过针对现代员工的设备保护、EDR 部署、补丁管理和 BYOD 策略的最佳实践来实施端点安全管理。
事件响应计划模板:准备、检测、响应、恢复
使用我们完整的模板制定事件响应计划,涵盖准备、检测、遏制、根除、恢复和事件后审查。
安全意识培训计划设计:将人为风险降低 70%
设计一个安全意识培训计划,通过引人入胜的内容、模拟和可衡量的结果,将网络钓鱼点击率降低 70%。