渗透测试标准-渗透项目实施前的互动

释放双眼,带上耳机,听听看~!

概观

本部分的是介绍渗透测试所用工具及技术,以帮助成功进入渗透测试参与前的互动。本节中的信息是世界上成功的渗透测试人员多年总结的经验。

如果您是寻找渗透测试的客户,我们强烈建议您转到本文档的一般问题部分。它涵盖了测试开始前应该回答的主要问题。请记住,渗透测试不应该是对抗性的。它不应该是一个活动,看看测试人员是否可以“黑掉”你。它应该是识别与攻击相关的业务风险。

为了获得更大的价值,请确保涵盖本文档中的问题。此外,随着范围界定活动的进展,一家好的渗透测试公司会开始为您的公司量身定制更多的问题。 

范围介绍

定义范围可以说是渗透测试重要的组成部分之一,但它也是容易被忽视的一个。忽视渗透测试前的互动阶段有可能让渗透测试人员(或其公司)面临一系列令人头痛的问题,包括范围蔓延,客户不满意,甚至法律问题。项目的范围许明确定义要测试的内容。“参与规则”部分将介绍测试的各个方面。

确定参与范围的一个关键组成部分是概述测试人员应如何度过时间。作为一个例子,一位客户要求以100000美元的价格测试100个IP地址。这意味着客户每个IP地址提供1000美元的测试费用。但是,这一成本结构仅在该数量上保持有效。测试人员常遇到的问题就是在测试过程中保持线性成本。如果客户需要一个关键业务应用程序以相同的价格结构(1,000美元)进行测试,而测试人员仍然只会测试一个IP,但是工作量便会大大增加,根据所做的工作改变成本非常重要。否则,公司很容易发现自己的服务收费不足,这促使他们做不到完整的工作。

尽管有一个稳定的定价结构,但这个过程并非全是黑白的。客户完全不知道他们需要测试的是什么,这并不罕见。客户也可能不知道如何有效地交流他们期望的测试。在前期阶段,测试人员应当为客户在未知领域给出指导,这一点非常重要。测试人员必须了解测试重要业务系统与大批量非业务IP的区别。

 时间估计度量

时间估算直接关系到测试人员在特定领域的经验。如果某个测试人员在某个测试中有丰富 的经验,他可能会熟练确定要多长时间。如果测试人员在该领域的经验较少, 重新对比相似项目的时间,该公司已经完成了对当前项目时间要求进行估算的好方法。一旦测试时间确定,将时间增加20%是一种谨慎的做法。

时间值后端的额外20%称为填充。在顾问圈子之外,这也被称为顾问开销。填充是任何测试的绝对必要条件。如果测试中发生任何中断,它将提供缓冲。通常会发生许多事件并阻碍测试过程。例如,某个网段可能会停止运行,或者可能会发现一个重要的漏洞,这需要许多管理层进行许多会议来解决。这两个事件都非常耗时,并且如果填充不到位,会严重影响项目进程。

如果20%填充结束不需要会发生什么情况?为客户计费时间不起作用将是非常不道德的, 因此测试人员需要提供额外的价值,如果订购时间限制已经达到,通常可能不会提供额外的价值。例如,公司安全团队通过采取措施利用漏洞,提供测试步骤(如果它不是原始可交付项目列表的一部分),或者花费一些额外时间去破解初始测试期间发现的难以利用的漏洞。

时间和测试指标的另一个组成部分是每个项目都需要有一个明确的服务结束日期。所有优秀的项目都有明确的开始和结束。如果您已达到测试结束的特定日期,或者在该日期之后要求您提供任何额外的测试或工作,则需要签署一份工作签署声明,说明工作和所需的工作时间。有些测试人员很难做到这一点,因为他们觉得在成本和时间方面他们太过痛苦 了。然而,笔者的经验是,如果您为主要测试提供卓越的价值,客户将不会拒绝为您支付额外的工作费用。

范围会议

在许多情况下,范围界定会议将在合同签署后进行。当然也会发生这样的情况,范围相关的内容在合同签署之前进行讨论,但它们很少。对于这些情况,建议在进行任何深入的范围界定讨论之前签署保密协议。

范围会议的目标是讨论将要测试的内容。本次会议不涉及参与规则和费用。这些主题中 每一个都应该在会议中进行处理,每个主题都是会议的重点。这样做是因为如果没有明确说明重点,讨论可能很容易变得混乱。作为主讲人保持讨论话题非常重要,防止转移话题并在必要时宣布某些主题更适合讨论。

现在已经为该项目建立了粗略的数量级(ROM)值,现在是时候与客户开会以验证假设了。首先,需要明确规定参与范围内的IP范围。客户抵抗并不罕见,并且认为测试人员应该有识别他们的网络并对其进行攻击,以使测试尽可能接近真实。这确实是一个理想的情况,然而,可能的法律后果必须高于一切。正因为如此,测试人员有责任向客户传达这些问题, 并向他们传授隐式范围界定的重要性。例如,在会议中,应该验证客户拥有所有目标环境,包括:DNS服务器,电子邮件服务器,他们的Web服务器运行的实际硬件以及他们的防火墙/ IDS / IPS解决方案。有许多公司将这些设备的管理外包给第三方。

此外,必须确定目标环境所在的国家,省份和州。各地的法律各不相同,测试可能会受到这些法律的影响。例如,属于欧盟的国家众所周知有非常严格的关于个人隐私的法律,这会改变社会工程的执行方式。

基于小时费率的额外支持

任何没有明确涵盖在参与范围内的事情都应该小心处理。第一个原因是范围蔓延。随着范围扩大,资源被消耗,削减测试者的利润,甚至可能造成客户的困惑和愤怒。还有一个问题,许多测试人员在临时进行额外工作时没有想到法律后果。许多临时请求没有正确记录,因此很难确定在发生争议或法律诉讼时谁说了什么。此外,合同是一份法律文 件,规定了将要完成的工作。它应该与测试备忘录的权限密切相关。

任何超出原始范围的请求都应以工作说明的形式记录下来,以清楚地标明要完成的工作。 我们还建议在合同中明确规定,每小时将按固定费用进行额外的工作,并明确规定,只有签署了相互签字的工作说明书,才能完成额外的工作。 

问卷调查

在与客户的初步沟通过程中,有几个问题需要客户回答,以便可以适当地估算合作范围。 这些问题旨在更好地理解客户希望从渗透测试中获得什么,为什么客户希望针对他们的环境进行渗透测试,以及他们是否希望在进行过程中执行某些类型的渗透测试。以下是 在此阶段可能会问到的示例问题。 

一般的问题

网络渗透测试

1.为什么客户针对他们的环境进行渗透测试? 

2. 针对特定合规要求是否需要进行渗透测试? 

3. 客户何时需要进行渗透测试的活动部分(扫描,枚举,开发等)? 

  1. 在营业时间?

  2. 工作时间之后?

  3. 在周末?

4. 正在测试多少个总IP地址? 

  1. 有多少内部IP地址(如果适用)?

  2. 有多少个外部IP地址(如果适用)?

 5. 是否有任何可能影响渗透测试结果的设备,如防火墙,入侵检测/防护系统,Web应用防火墙或负载均衡?

 6. 在系统被渗透的情况下,测试团队应该如何进行?

   1. 对受感染的机器执行本地漏洞评估? 

   2. 尝试获取被渗透计算机上的高权限(Unix机器上的root,Windows机器上的管理员)?

   3. 针对获得的本地密码哈希执行no,minimal,dictionary或穷举密码攻击(例如,Unix机器上的/ etc / shadow)?  

  Web应用程序渗透测试                                                                         1. 正在评估多少个网络应用程序?

2. 正在评估多少个登录系统? 

3. 正在评估多少个静态页面?(近似)

4. 正在评估多少个动态页面?(近似) 

5. 源代码是否可用? 

6. 会有任何种类的文件吗? 

   1. 如果是的话,什么样的文件?

 7. 将在此应用程序上执行静态分析吗?

 8. 客户是否希望针对此应用程序执行模糊处理?

 9. 客户是否希望针对此应用程序执行基于角色的测试?

 10. 客户是否想要执行Web应用程序的凭证扫描?

无线网络渗透测试

1.有多少个无线网络?

2. 是否使用访客无线网络?如果是这样:

    1. 访客网络是否需要验证?

    2. 无线网络使用什么类型的加密? 

    3. 覆盖面积是多少? 

    4. 是否有必要列举流氓设备?

    5. 该团队是否会评估针对客户的无线攻击? 

    6. 大概有多少客户将使用无线网络?

物理渗透测试

1.正在评估多少个地点? 

2. 这个物理位置是共享设施吗?如果是这样:

    1. 范围内有多少层? 

    2. 哪些楼层在范围内?

3. 有没有需要绕过的保安人员?如果是这样:

    1. 保安人员是否通过第三方雇佣?

    2. 他们武装? 

    3. 他们是否被允许使用武力?

4. 大楼里有多少个入口? 

5. 是否允许使用锁扣或撞击键?(也考虑当地法律) 

6. 此测试的目的是验证是否符合现有政策和程序或执行审核?

7. 范围内的面积是多少平方英尺?

8. 是否记录了所有物理安全措施?

9. 摄像机正在使用吗? 

    1. 相机是客户所有的吗?如果是这样:

        1. 该团队是否应尝试访问摄像机数据的存储位置?

10. 是否有使用武装警报系统?如果是这样:

     1. 警报是无声警报吗? 

     2. 运动引发了警报吗? 

     3. 是否通过打开门窗触发警报?

社会工程学

1.客户是否有他们希望执行社交工程攻击的电子邮件地址列表?

2. 客户是否有他们希望针对社交工程攻击执行的电话号码列表? 

3. 社会工程是为了获得未经授权的物理访问吗?如果是这样: 

    1. 有多少人会被定位?

应该指出,作为不同级别测试的一部分,业务部门经理,系统管理员和服务台人员的问题可能不是必需的。但是,在这些问题是必要的情况下,一些示例问题可以在下面找到。

业务单位经理的问题

1.经理是否知道测试即将进行? 

2. 如果暴露,损坏或删除,会给组织造成大风险的主要数据是什么? 

3. 测试和验证程序是否验证业务应用程序是否正常运行? 

4. 从第一次开发应用程序开始,测试人员是否可以访问质量保证测试程序? 

5. 灾难恢复程序是否适用于应用程序数据?

系统管理员的问题

1.有可能被认为脆弱的系统?(具有崩溃倾向的系统,较旧的操作系统或未修补的系统) 

2. 客户端没有拥有哪些网络系统,可能需要额外的批准才能测试? 

3. 变更管理程序是否到位? 

4. 什么是修复系统中断的平均时间? 

5. 是否有任何系统监控软件? 

6. 什么是重要的服务器和应用程序? 

7. 备份是否定期进行测试?

8. 后一次备份是否恢复? 

范围蠕变

范围蔓延是将渗透测试公司淘汰出去的有效方法之一。问题在于,许多公司和管理人员很难知道如何识别它,或者当它发生时如何对它做出反应。

在执行范围蔓延时需要记住几件事情。首先,如果客户对在特定的参与方面所做的工作感到满意,那么他们通常会要求额外的工作。以此为恭维,不要犹豫,要求额外的资金来弥补额外的时间。如果客户拒绝支付额外的报酬,那么做这项工作不值得继续。

第二点更为重要。与现有客户打交道时,请注意保持较低的价格。利用价格欺诈的良好局面是推动重复业务的肯定方式。考虑到价格可以降低,因为该公司避免了收购客户的成 本,例如正式的RFP流程和寻找客户本身。此外,未来工作的最佳来源是通过现有客户。 善待他们,他们会回来。 

指定开始日期和结束日期

击败范围蔓延的另一个关键组成部分是明确说明开始和结束日期。这使项目有了明确的结束。重新测试期间发生范围蠕变的常见区域之一。签订合同时重新测试总是听起来像个好主意。它表明,该公司是关心和勤奋,尽力确保客户尽可能安全。如果忘记了工作没有完成,那么问题就开始了。这包括重新测试。

为了减轻这种风险,在合同中增加一个简单的陈述,其中提到所有重新测试必须在最终报告交付后的特定时间范围内完成。然后成为测试人员带头重新测试的责任。如果客户要求延期付款,请务必在原定日期满足付款条件的情况下允许此项延期付款。最后重要的是,保证质量再测试。请记住,未来工作的最佳来源是您现有的客户群。 

指定IP范围和域

在开始渗透测试之前,必须确定所有目标。这些目标应在初始问卷调查阶段从客户处获得。目标可以由客户以特定IP地址,网络范围或域名的形式给出。在某些情况下,客户提供的唯一目标是组织的名称,并希望测试人员能够独立识别其余部分。重要的是要定义在测试设备和最终目标之间的防火墙和IDS / IPS或网络设备等系统是否也是范围的一部分。应识别和定义其他元素,如上游提供商和其他第三方提供商,无论它们是否在范围内。

验证范围

在你开始攻击目标之前,你必须确认它们实际上是由你正在进行测试的客户拥有的。想想如果你开始攻击一台机器并成功穿透它,只是为了找出机器实际上属于另一个组织(如医院或政府机构)的机会而可能遇到的法律后果。 

处理第三方

在多种情况下,参与将包括测试由第三方托管的服务或应用程序。近年来,随着“云”服务越 来越流行,这种情况越来越普遍。要记住的重要的事情是,尽管客户可能已经准许了许可,但他们不会为他们的第三方提供商发言。因此,为了测试托管系统,必须从他们那里获得许可。如果没有获得适当的权限,就会一如既往地带来违反法律的可能性,这可能会导致无穷无尽的头痛。

云服务

测试云服务的大问题是存储在一个物理介质上的多个不同组织的数据。通常这些不同数据域之间的安全性非常低。云服务提供商需要提醒测试人员,并且需要确认测试正在进行,并授予测试机构测试权限。此外,如果发现可能影响其他云客户的安全漏洞,则可以联系云服务提供商内部的直接安全联系人。一些云提供商具有针对渗透测试人员遵循的特定程序,可能需要在测试开始之前提供请求表单,计划或明确许可。 

ISP

验证ISP与客户的服务条款。在许多商业情况下,ISP有专门的测试规定。在发起攻击之前仔细查看这些条款。有些情况下,ISP会避开并阻止某些被认为是恶意的流量。客户可能会批准此风险,但必须始终在开始前明确沟通。虚拟主机与所有其他第三方一样,测试的范围和时间需要与虚拟主机提供商明确沟通。另外,当与客户进行交流时,一定要明确说明测试只会用于搜索网络漏洞。测试不会发现底层基础架构中的漏洞,这可能仍然会提供一种危害应用程序的途径。 

安全托管服务提供商

安全托管服务提供商也可能需要收到测试通知。具体而言,他们需要在他们拥有的系统和服务进行测试时收到通知。但是,在某些情况下不会通知安全托管服务提供商。如果确定安全托管服务提供商的实际响应时间是测试的一部分,那么安全托管服务提供商通知测试的完整性肯定不是最佳利益。作为一般的经验法则,只要安全托管服务提供商明确拥有的设备或服务正在接受测试,就需要通知他们。

服务器托管国家

验证服务器所在的国家也符合测试人员的最佳利益。在您确认国家后,在开始测试之前先查看特定国家的法律。不应该假定公司的法律团队将为测试人员提供完整的当地法律概要。也不应该假设公司会对其测试人员违反的任何法律承担法律责任。每个测试人员都有责任在他们开始测试之前验证他们所测试的每个区域的法律,因为测试人员终将为任何违规行为负责。

定义可接受的社会工程借口

许多组织都希望以符合实际攻击的方式对其安全状况进行测试。社会工程学和鱼叉式网络钓鱼攻击目前被许多攻击者广泛使用。尽管大多数成功的攻击都会使用诸如性、毒品和摇滚乐等各种借口(分别是色情,伟哥和免费iPod),但在企业环境中,某些借口中可能是不可接受的。确保在开始测试之前为测试选择的任何借口都得到书面批准。

DoS测试

应该在参与开始之前讨论压力测试或拒绝服务测试。由于测试具有潜在的破坏性,这可能成为许多组织不习惯的话题。如果一个组织只担心他们的数据的机密性或完整性,压力测试可能就没有必要; 然而,如果组织也担心服务的可用性,那么压力测试应该在与生产环境相同的非生产环境中进行。 

付款条件

准备许多测试人员完全忘记测试的另一方面是应该如何支付。就像合同日期一样,应该有特定的付款日期和条款。大型组织拖延付款的时间并不少见。以下是一些常见的付款方式。这些只是简单的例子。毫无疑问,建议每个组织创建并调整自己的定价结构,以更适合客户和自己的需求。重要的是在开始测试之前应该有一些结构。 

月结

总金额在交付终报告后的30天内到期。这通常与不支付的每月百分比罚款相关联。这可以是您希望授予您客户的任意天数(即45或60)。

前半部分

在测试开始之前需要先付总额的一半并不罕见。这对于长期安全服务非常普遍。

定期

定期性付款时间表更常用于长期服务。例如,一些服务可能会持续一年或两年。客户全年定期付款并不罕见。 

目标

每个渗透测试都应该以目标为导向。这就是说,测试的目的是发现导致客户的业务或任务目标受到损害的特定漏洞。这不是关于找到未打补丁的系统。它是关于识别会对组织产生利影响的风险。

主要

测试的主要目标不应该由合规性驱动。这种推理有许多不同的理由。首先,合规不等于安全。虽然应该理解许多组织因为遵从而进行测试,但它不应该是测试的主要目标。例如, 可以聘请一家公司完成渗透测试,作为PCI-DSS要求的一部分。

处理信用卡信息的公司不乏。但是,如果目标组织在竞争激烈的市场中独一无二且具有权威性,那么受到影响的影响将大。被盗用的信用卡系统肯定会是一个严重的问题,信用卡号码以及所有相关的客户数据被泄露将是灾难性的。

次要

次要目标与合规直接相关。主要和次要目标密切相关并不罕见。例如,以PCI-DSS驱动的测试为例,获取信用卡是次要目标。主要目标是将违反数据与企业的业务或任务驱动因素联系起来。次要目标意味着合规性和/或IT。主要目标得到高层管理人员的关注。

商业分析

在执行渗透测试之前,确定客户安全状态的成熟度水平是有益的。有许多组织选择直接跳入渗透测试,直接评估此成熟度等级。对于有非常不成熟安全计划的客户,首先执行漏洞分析通常是一个好主意。

如果一家公司还没有做好全面渗透测试的准备,他们将从良好的漏洞分析中获得远远超过渗透测试的价值。

事先与客户建立关于他们将提供的系统的信息。询问已经记录的漏洞信息也可能会有所帮助。这样可以节省测试人员的时间,并且通过存在已知问题的重叠测试来节省客户资金。同样,如果合规性并非绝对要求,全面或部分白盒测试可能会给客户带来比黑盒测试更多的价值。 

建立沟通渠道

任何渗透测试重要的方面之一就是与客户沟通。你与客户互动的频率以及你接近他们的方式会使他们的满意感发生巨大变化。以下是一个沟通框架,有助于让客户对测试活动感到满意。 

紧急联系信息

很显然,在紧急情况下能够与客户或目标组织联系非常重要。可能会出现紧急情况,并且必须建立联系点才能处理它们。创建一个紧急联系人列表。此列表应包含测试范围内所有参与方的联系信息。一旦创建,紧急联系人名单应与名单上的所有人共享。请记住,目标组织可能不是客户。

收集有关每个紧急联系人的以下信息:

1.全名

2. 所有权和运营责任

3. 如果尚未指定,授权讨论测试活动的详细信息

4. 如果可能,可以采用两种形式的24/7即时联系方式,如手机,传呼机或家庭电话

5. 安全批量数据传输,如SFTP或加密电子邮件

注意:诸如服务台或运营中心之类的组的号码可以替换一个紧急联系人,但前提是该服务人员全天候工作。每次渗透测试的性质会影响谁应该在紧急联系人名单上。不仅需要提供客户和目标的联系信息,还需要在紧急情况下联系测试人员。该清单好包括以下人员:

1参与测试组中的所有渗透测试人员

2. 测试组的经理 

3. 两个目标组织的技术联系人

4. 客户的两个技术联系 

5. 客户的一位高层管理人员或业务联系人

上面的列表中可能会有一些重叠。例如,目标组织可能是客户,测试组的经理也可能正在 进行渗透测试,或者客户的技术联系人可能在高层管理人员。还建议为每个牵涉其一方的联系人定义一名联系人,并为其负责。

事件报告过程

讨论组织当前的事件响应能力在参与之前很重要,有几个原因。渗透测试的一部分不仅仅是测试组织的安全性,还要测试他们对于事件响应能力。

如果在目标的内部安全团队没有注意到的情况下完成整个交战,那么安全状况的重大差距就已经确定。确保在测试开始之前,目标组织的某个人知道何时进行测试,以便事件响团队在深夜不会开始给每位高层管理人员打电话,这一点也很重要,因为他们认为他们受到攻击或受到损害。

事件定义

美国国家标准与技术研究院(NIST)将事件定义为:“违反计算机安全策略,可接受使用策 略或标准安全实践的违规行为或即将发生的威胁”(Computer Security Incident Handling Guide – Special Publication 800-61 Rev 1)。事件也可发生在物理层面上,其中一个人以任何方式获得未经授权的物理访问。目标组织对于不同类型的事件应该有不同的类别和级别。

状态报告频率

状态报告的频率可能差别很大。影响报告进度的一些因素包括测试的总长度,测试范围和 目标的安全成熟度。一个有效的时间安排允许顾客感觉参与。被忽视的客户是前客户。

一旦设定了状态报告的频率和时间表,就必须予以满足。推迟或延迟状态报告可能是必要 的,但它不应该变成慢性的。如有必要,客户可能被要求同意新的时间表。如果可能的 话,完全忽略状态报告是不专业的,应该避免。

保密协议和其他选择

加密不是可选的。与客户的沟通是任何渗透测试活动中绝对必要的部分,并且由于参与的 敏感性,敏感信息的通信必须加密,尤其是最终报告。在测试开始之前,必须建立与客户的安全通信手段。几种常见的加密手段如下:

1.PGP / GPG可用于通过电子邮件进行通信并加密最终报告(请记住,主题行是以明文形式传递的) 

2. 客户网络上托管的安全邮箱 

3. 电话 

4. 面对面会议 

5. 要提交最终报告,您还可以将报告存储在AES加密的存档文件中,但请确保您的存档实用程序使用CBC支持AES加密。

还要询问哪些信息可以写入,哪些信息只能口头传达。一些组织有充分的理由限制以书面形式传递给他们的安全信息。

参与规则

虽然范围定义了将要测试的内容,但是参与规则定义了测试将如何发生。这是两个不同的 方面,需要彼此独立处理。

时间线

应该为参与建立一个明确的时间表。虽然范围定义了参与的开始和结束,但参与规则定义 了所有介于两者之间的内容。应该明白,时间轴会随着测试的进行而改变。然而,制定一 个严格的时间表并不是创建目标的目标。相反,在测试开始时制定时间表,将使所有参与 者更清楚地识别将要完成的工作以及负责该工作的人员。甘特图和工作分解结构通常用于 定义工作以及每项具体工作将花费的时间。

互联网上有许多免费的GANTT Chart工具。许多管理者都认同这些工具。因此,它们是与 目标组织的高层管理人员沟通的绝佳媒介。

地点

与客户提前建立联系非常重要的任何特定参与的另一个参数是测试人员在测试期间需要前 往的任何目的地。这可能与识别当地酒店一样简单,或者像识别特定目标国家的适用法律 那样复杂。

一个组织在多个地区和地区开展业务并不少见,需要选择一些选定的地点进行测试。在这 些情况下,应避免旅行到每个客户的位置,而应确定是否有连接到站点的VPN连接可用于 远程测试。敏感信息的披露

虽然特定参与的目标之一可能是获取敏感信息,但某些信息实际上不应被查看或下载。对 于较新的测试人员来说这似乎很奇怪,但是,有很多情况下测试人员不应该拥有目标数 据。例如,根据健康保险流通与责任法案(HIPAA),个人健康信息(PHI)必须保护这些 数据。在某些情况下,目标系统可能没有防火墙或防病毒(AV)保护它。在这种情况下, 应该绝对避免拥有任何和所有个人身份信息(PII)的测试人员。

但是,如果数据无法通过物理或虚拟方式获得,那么如何证明测试人员的确获得了信息? 这个问题已经以多种方式解决了。有许多方法可以证明没有拿到任何钱就可以打开金库 门。例如,可以采取数据库模式和文件权限的屏幕截图,或者只要没有PII在文件名本身中 可见,就可以显示文件本身而无需打开它们显示内容。

测试人员对特定参与的谨慎程度是需要与客户讨论的参数,但执行测试的公司应始终确保在法律意义上保护自己,无论客户的意见如何。无论接触到敏感数据,所有报告模板和测 试机器在每次参与后都应该进行充分的清理。作为一个特别的方面,如果测试人员发现了 非法数据(即儿童色情),应立即通知适当的执法官员,其次是客户。不要从客户那里采 取行动。

证据处理

在处理测试的证据和报告的不同阶段时,对数据采取极端谨慎的态度非常重要。在测试之 间总是使用加密和消毒您的测试机器。切勿在安全会议上发布带有测试报告的USB记忆 棒。无论您做什么,都不要将来自其他客户互动的报告重新用作模板!在文档中留下对另 一个组织的引用是非常不专业的。

定期状态会议

在整个测试过程中,与客户定期会面以通知他们测试的整体进度是至关重要的。这些会议 应该每天举行,并且应尽可能短。会议应该遵循三个概念:计划,进展和问题。

通常会讨论计划,以便在重大计划外变更或中断期间不进行测试。进展只是对客户迄今已 完成的更新。在这次会议中还应该讨论问题,但为了简洁起见,关于解决方案的对话应该 几乎总是处于离线状态。

测试时间

某些客户需要在工作时间以外完成所有测试。对大多数测试人员来说,这可能意味着深 夜。在测试开始之前,一天中的时间要求应该与客户建立良好的关系。

处理回避

有些时候回避是完全可以接受的,有些时候它可能不符合测试的精神。例如,如果您的测 试不仅是测试技术,而且是目标组织的安全团队的能力,那么测试将是一个完整的黑盒测 试,因此回避将会非常好。但是,当您与目标组织的安全团队协调测试大量系统时,避免 您的攻击可能不符合测试的佳利益。

测试权限

需要为渗透测试获得的重要文件之一是“测试权限”文件。该文件规定了范围并包含一个签 名,该签名承认对测试人员活动的认识。此外,它应该明确指出,测试会导致系统不稳 定,并且测试人员将给予所有应有的关注,以防止系统崩溃。但是,由于测试可能导致不 稳定,因此客户不得让测试人员对系统不稳定或崩溃负责。在客户签署此文件之前,测试才开始,这一点至关重要。

另外,一些服务提供商在测试系统之前需要提前通知和/或单独许可。例如,亚马逊有一个 必须完成的在线请求表单,并且在扫描其云上的任何主机之前,必须批准该请求。如果这 是必需的,它应该是文档的一部分。

法律考虑

渗透测试中常见的一些活动可能违反当地法律。出于这个原因,建议检查工作所在位置的 普通笔测任务的合法性。例如,在渗透测试过程中捕获的任何VOIP呼叫都可能被视为在某 些区域进行窃听。

能力和技术到位

良好的渗透测试服务不会简单地检查未打补丁的系统。他们还测试目标组织的能力。为此,以下列出了您可以在测试时进行基准测试的事情。

  1. 能够检测和响应信息收集

  2. 能够检测和响应脚印

  3. 能够检测和响应扫描和恶意分析 

  4. 能够检测并响应渗透(攻击) 

  5. 能够检测和响应数据聚合 

  6. 能够检测和响应数据过滤

当跟踪这些信息时,一定要收集时间信息。例如,如果检测到扫描,应该通知您并注意您 当时执行的扫描级别。

 

翻译自:http://www.pentest-standard.org/index.php/Pre-engagement#Scope_Creep

看的不爽?原文PDF下载,公众号回复 互动,免费下载!

_______________________________________________________

想加入我们的微信群(WEB安全爱好者们交流与分享安全技术的最佳团队!这里聚集了XSS牛、SQL牛、提权牛、WEB牛、开发牛、运维牛、群内定期分享安全教程及相关工具)的朋友,可以扫码添加我的微信,需提供公司名称+姓名,验证通过后加群获得一手信安情报,更多内推岗位,更多与安全大咖面对面交流的机会···


也欢迎大家加入QQ群:594479150(国内专业度最高的互联网安全交流平台之一,你关心的、你想要的这里都可以满足你)

人已赞赏
安全工具

我们绝不会跳票-《内网安全攻防:渗透测试实战指南》若干问题声明及最终目录公布

2019-10-11 17:04:20

安全工具

渗透测试标准-情报收集(中)

2019-10-11 17:04:25

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索