青藤云安全

渗透测试提供商选型指南之考虑的问题

2021-11-24

在选择渗透测试提供商时要考虑哪些问题?本文青藤云安全小编为你整理了相关内容:

在定义渗透测试需求和测试边界时要回答的问题如下(请注意,这些问题中有很多是重叠的,因此请从整体上考虑):

■对于测试提供商而言,哪些类型的资产(设备、主机、应用、环境和人员)明确包含在范围内,哪些不适用?这些不适用的资产仅仅某些天或某个时间段不适用吗?根据测试类型,不适用的资产通常会有所不同。轻量级和有针对性的评估(白盒和灰盒测试)通常会指定哪些资产不适用,而标准渗透测试(黑盒测试)和红队服务则很少会这样(如果有)。如果首选红队类型,那么目标是否是隐秘的,蓝队并不知晓?

■测试人员希望测试哪些环境(例如,仅测试或开发环境,或者包括生产在内的所有环境)?所采用的渗透测试的类型可能会决定环境的选择。例如,可以针对预生产版本,针对尚未对外公开的新平台和应用程序进行灰盒测试。

■测试范围内是否包括IaaS、PaaS和SaaS之类的云服务?如果是这样,则大多数利用SaaS以及有时使用PaaS的组织都不能执行自己的渗透测试,即使对于IaaS,在客户基于云服务共享责任模型进行测试时也存在明确的界限划分。

■测试范围内是否有在家工作的员工?以远程工作员工为目标可能会违反ISP条款和条件,并可能给私人场所和私人设备造成干扰(例如,如果员工使用自己的设备)。应该评估和考虑对这些资产和人员进行渗透测试的风险。

■有营业时间限制吗?例如,如果要进行标准渗透测试,企业是希望仅在工作日和办公时间内进行渗透测试,以便如果漏洞利用让应用或服务器崩溃,IT员工可以恢复正常运行吗?是否存在正常的停电期(例如,零售商假期时),不应进行测试? 

■根据渗透测试的类型,当测试人员进行真实的漏洞利用时,组织机构愿意在测试范围内围绕资产的可用性和完整性承担多少风险?如果要进行标准的渗透测试,组织是否会接受使用实际漏洞利用来实现测试的目标?同样,也要与提供商进行协商以确定在测试过程中其如何规定和监视边界。

■测试人员需要在您的物理场所内还是可以接受远程工作?在新冠疫情肆虐的情况下,提供远程渗透可能是唯一的选择。如果进行远程测试,将如何提供访问、监控权限呢,测试结束后,如何撤销访问权限呢?供应商是否需要在您的网络上部署自己的资产(例如虚拟机或物理笔记本电脑)以便进行内部渗透测试吗?通常,测试类型决定测试人员的位置。针对特定系统或应用的渗透测试可能需要完全访问您的内部网络。模拟从组织机构网络范围之外进行攻击则可能不会。

■对执行测试的个人是否有特定要求(例如,要求特定的安全许可级别)?

■组织机构有什么升级计划?并非在所有情况下都依赖电子邮件通信和会议,也需要详细的沟通和升级计划。双方必须就“无假设”策略达成一致,例如,如果系统无响应,则表示发现了重大漏洞或发生了入侵。沟通必须及时且清晰明了(例如发生了什么,已经发现了什么,问题的严重性,是否存在入侵行为或是否有过去的活动迹象以及哪些工件表明存在入侵行为)。

■愿意给予测试提供商多大程度的独立性?了解这一点至关重要。是否允许它采用社会工程技术(例如,在网络钓鱼电子邮件和电话中)?会授予物理访问权限以实现测试的目标吗? 赋予提供商的权限越多,风险越高,但是结果可能会更全面和彻底。 

以上就是关于渗透测试提供商选型指南的考虑问题相关的内容,后续,青藤云安全小编将会为你带来更多内容讲解。

 

预测、防御、检测、响应,让安全一触即达

免费试用
电话沟通
售前业务咨询
400-800-0789转1
售后业务咨询
400-800-0789转2
复制成功
在线咨询
扫码咨询
扫码咨询
免费试用 获取资源