实体渗透测试六个最佳实践
星期三, 十月 9, 2019
实体渗透测试是常被忽视的检测组织机构安全态势的好方法。然而,如果准备不周,实体渗透测试可能给测试员造成严重后果。远的不谈,近期就有两名渗透测试员因为不当探测爱荷华州达拉斯县法院安全而被捕。
《得梅因纪事报》9 月 13 日报道,被捕渗透测试员受雇于科罗拉多网络安全咨询公司 Coalfire,持有“大量入室盗窃工具”。他俩声称自己是被“雇来测试法院警报系统有效性和测试司法机构响应时间的”,但达拉斯县官方表示自己“对此雇佣合同毫不知情”……
媒体报道写到:
爱荷华州司法部门官员表示,官方事后发现,州法院确实雇了人“通过各种方式尝试未授权访问”法庭记录,以便检查爱荷华电子法庭记录的潜在安全漏洞。
但爱荷华州司法部门 9 月 24 日的一份新闻发布中称,州法院 “并没有打算或预期测试中包括强行进入大楼”。
在 9 月 18 日的新闻发布中,Coalfire 称,公司与爱荷华州法院管理局“以为已就工作范围内所含位置的实体安全评估达成了共识”。但显然,最近的事件表明,Coalfire 和州法院管理局对该协议的范围持有不同解释。Coalfire 的声明进一步指出,双方都计划执行独立审查,并发布所签订的合同文件。
很明显,此事具有不同侧面,还有更多方面有待显露。同时,关于实体渗透测试,有六条经验教训可供汲取:
首先,尽可能详细地定义对战规则 (ROE)。谁都不想蹲在班房里纳闷为什么 “各种方式” 没能赋予自己自由闯入的权利。这种工作说明书 (SOW) 还需具体指明你将要测试什么,试图访问或完成什么,以及实现的方式。ROE 和 SOW 中应尽可能地消除不确定性;否则,入侵本身及其结果就会留待解读而不是有不容置疑的铁证。
而且,SOW 中还应包含赔偿条款,以防遭遇客户给出不实范围信息的情况。假设万一出了问题,至少还有补偿。
在实体评估过程中,我们建议让客户先对你的方法进行 “预演”,检查会出现什么问题。还要让他们的签字人审核作战命令 (OPORD) 并加以批准,过程中特别注意测试执行方式中的方法路径或作战构想 (CONOPS)。这样一来,“强行实体侵入是否获批”这样的问题就不再成其为问题了,对双方都好。
执行渗透测试的时候,咨询师应携带相当于 “免罪牌” 一样的东西。大多数情况下,这意味着一份已签署的同意书,里面写明允许他们这么做的法律条款。持有 OPORD 和 ROE 复印件是个不错的主意。
必须设置防止误解演变为糟糕事态的人员。关键在于为意外情况准备好多种应对措施。即便什么意外都没发生,你自己的联系人也需要知道事情的进展。
确保合理规划作战也很重要。可以采用 PACE 方法——作战过程中准备好主计划 ( (Primary)、备用方案 (Alternate)、应急预案 (Contingency) 和紧急对策 (Emergency)。计划再好也难免疏漏,但知道什么时候该去联系谁,可以免去很多悲伤——被捕或更糟的情况。
如果可能的话,在测试之前通告当地司法机构,告知他们你将要做什么,向他们提供你客户签署的同意书。只要没超出范围,确保该设施和/或实体安全主管也知道你的测试计划。这很重要。
你得知道客户的问题升级处理和响应流程。对关键基础设施或其他安全设施进行实体渗透测试过程中,当有人闯入时会出现一些特定情况,即使执行的是已授权测试,也会触发响应,会被认为是违反北美电力可靠性委员会的各项关键基础设施保护标准之类的规定。出于这些特殊考虑,可以安排一名观察员在远处 “押送” 测试方,这样就不违反任何联邦法律或监管要求了。
每种情况都很特殊,所有因素都需要考虑到。比如说,常收到暴力威胁和/或恐怖分子攻击风险增加的商业设施,可能会给保安配枪。在进入之前先了解危险,知道你可能会违反什么规定,当问题出现时与客户协同处理。
最终,客户并没有保护你的义务。保护自己和客户的责任落在你身上。从法律角度看,你会想知道自己的错误和遗漏/职业责任保险是否覆盖此类情况。你想要确保责任和赔偿要求写明一般范围违约情况的处理方式,并定义几条基线规则。你还想了解疏忽和重大过失之间的差别。
必须不遗余力地定义你与客户的对战,要包括范围和授权与未授权行为。所有的攻防对抗都是合作关系,通过提供清晰主动的沟通,可为所有参与方带来最好的结果。
Des Moines Register 报道:
Coalfire 新闻发布:
相关阅读