CIS关键安全控制措施集(CIS Critical Security Controls,CIS Controls)系列介绍文章,本期介绍控制措施18:渗透测试。
笔者:国际认证信息系统审计师、软考系统分析师
控制措施18:渗透测试
包含有5个细项,IG1前0项,IG2前3项,IG3全5项。
这5项分别是:
18.1 建立并维护一套适合企业规模、复杂性和成熟度的渗透测试程序。渗透测试程序的特征包括测试范围(如网络、web应用程序、应用程序接口API、托管服务和物理的前提控制physical premise controls等)、测试频率、测试限制(如可接受的时长和排除的攻击类型)、联系点信息、补救措施(如如何在企业内部传递渗透测试所发现的情况)以及追溯要求。
18.2 根据程序要求定期进行外部渗透测试,不少于每年一次。外部渗透测试必须包括对企业和对环境的侦察,以探测可利用的漏洞信息。渗透测试需要专门的技能和经验,并且必须通过有资质资格的服务方进行。测试过程中企业本体可以是透明或不透明方式。
18.3 根据企业关于补救范围和优先级的政策,修正渗透测试结果。
18.4 在每次渗透测试后均要验证安全措施。如果认为有必要,调整修改 安全规则设置和检测能力,以能检测在渗透测试过程中使用的技术。
18.5 根据程序要求定期进行内部渗透测试,不少于每年一次。测试过程中企业本体可以是透明或不透明方式。
控制措施18的目的,是促使企业通过专业技术力量,通过识别和利用控制(人员、流程和技术)中的弱点,并模拟攻击者的目标和操作,来测试企业资产的有效性和弹性。
渗透测试首先是对企业和环境进行侦察,然后进行扫描,以识别可用作进入企业的入口的漏洞。因此,重要的是要确保所有被发现的企业资产都在测试范围内,而不是仅仅依赖于一个可能过时或不完整的静态资产列表。
接下来识别这些目标中存在的漏洞。当获取到漏洞后,通过利用这些漏洞去明确地演示真实的对手会如何颠覆企业的安全目标(例如,保护特定的敏感数据)或实现特定的对抗性目标(例如,建立一个秘密的命令和控制C2基础设施)。
通过演示可使得渗透测试结果能为企业了解各种漏洞所产生的业务风险提供更深入的了解,这些结果可以是针对物理访问控制、网络、系统或应用程序层的,并且通常包括社交工程的过程手段。
渗透测试是昂贵和复杂的,并可能在测试过程中产生测试风险。来自有信誉的供应商的有经验的人必须管理它们。一些额外风险包括,意外关闭了可能不稳定的系统(导致无法重启动),利用漏洞可能导致删除或破坏数据或配置(企业刚好没有备份,或即使有备份也会导致损失),以及输出的测试报告也需要被保护,因为报告内容会详细说明是如何进入企业和把目标锁定到关键资产或数据的。
每个企业都应明确规定渗透测试的参与范围和规则。这类项目的范围至少应包括具有最高价值的信息和生产处理功能的企业资产。其他低值系统也可以进行测试,看看它们是否可以用作跳板来妥协高值目标。
渗透测试分析的参与规则应至少描述一天中的测试时间、测试持续时间和总体测试方法。企业中只应该有少数人知道何时进行渗透测试。应指定企业中的主要联系人,以应对如果测试期间出现问题。
最近越来越流行的做法是通过第三方法律顾问进行的渗透测试,以保护渗透测试报告不被披露。
在CIS控制措施18中的保障措施,为企业提供了特定的、高优先级的步骤,可以提高企业安全,并且应该是任何渗透测试的一部分。此外,我们建议使用一些致力于本主题的优秀的综合资源来支持安全测试规划、管理和报告:
OWASP Penetration Testing Methodologies
https://www.owasp.org/index.php/Penetration_testing_methodologies
PCI Security Standards Council
https://www.pcisecuritystandards.org/documents/Penetration-Testing-Guidance-v1_1.pdf
全部18个CIS控制措施到此就介绍完毕了。
本站微信订阅号:
本页网址二维码: