公司可以使用哪些工具或技術來防止滲透測試人員惡意行為和洩露數據或破壞系統?我無法想像公司使用的唯一保護是合同保護。
公司可以使用哪些工具或技術來防止滲透測試人員惡意行為和洩露數據或破壞系統?我無法想像公司使用的唯一保護是合同保護。
您擔心的主要是法律問題。滲透測試儀根據保密協議進行操作,該協議在法律上等同於“對所看到的一切保持警惕”。保密協議,簡稱NDA,是阻止滲透測試人員談論上週測試ACME Corp.時發現的酷漏洞的原因。
為什麼滲透測試人員會尊重NDA?因為不這樣做基本上會破壞他們的職業生涯。如果公司得知滲透測試人員披露了內部信息,他們將起訴筆測試人員以獲取可能高達數百萬美元的賠償。
此外,這將完全破壞筆測試人員的聲譽。 ,確保沒有人會再次僱用他們。對於滲透測試人員而言,這意味著他們花了數年或數十年的時間積累的知識基本上毫無價值。即使這個想法對道德上敗壞的筆測試者來說似乎是甜蜜的,懲罰也要嚴重得多。
此外,大多數筆測試者對讓客戶妥協沒有興趣。他們為什麼會呢?確保客戶滿意是他們的最大利益,以便他們一次又一次地僱用他們。
關於您為什麼不施加技術限制的原因有很多。首先,作為戊pent酯,您會覺得自己被當作罪犯對待。許多滲透測試者為他們所做的工作感到驕傲,並且像對待罪犯一樣對待他們只是在嘴裡留下了酸味。一個pentester知道公司有某些政策,但是如果公司超越並帶武裝警衛護送他們上廁所,只是要確保他們在途中不尋找帶有密碼的便條紙回來,他們會感到不信任。這可能而且很可能會降低士氣,並可能使一個學期的學生沒有盡其所能。
此外,荒謬的技術約束也會使筆測試者感到困難。例如,如果他們的公司提供的域帳戶在啟動Wireshark或nmap時立即被阻止,則該帳戶需要一段時間才能重新激活。這樣會阻止一個pentester啟動他們的所有工具來盡可能有效地發現漏洞,並浪費大量時間。
這對pentester和客戶都不利,並且可能導致更糟他們倆的整體經驗。
我在問公司是否可以使用某些工具和某些技術來避免滲透測試人員的惡意行為會洩露某些數據或永久性破壞系統。
您可以記錄防火牆後面的所有流量,或者整夜保持清醒狀態,觀看Wireshark的輸出,但是如果沒有技術技能,將很難理解擺在您面前的碎片。防數據丟失系統可能是您要考慮的,但是它將乾擾滲透測試,除非這正是您要測試的設備。
答案是盡職調查。僱用公司之前,請先檢查其憑據。提出問題,也要求提供樣品報告,有些服裝公司只需要在模板表上運行自動掃描和勾選框即可。這不是我們想要的。我們需要的是才華橫溢的測試人員,他們應該跳出思路,根據自己的偵察工作(大多是自動化的)來設計原始,手動攻擊。好的滲透測試應該是量身定制的操作,而不是千篇一律的練習。
我不會與不提供樣本報告(當然是經過整理的報告)的公司開展業務。
我最大的擔心不是誠實,而是缺乏能力,這意味著您要為無用的交付物付費。
這是我的第一個過濾器。在我看來,售票公司不道德,因為它故意提供可疑價值的服務。可能總比沒有好,但您想要物有所值。
我不記得有一個滲透測試公司的實例被用於犯罪行為。但是,已經有人起訴了一些“瀆職”行為。例如:親和遊戲vs Trustwave。
合同應明確允許什麼和不允許什麼。確保沒有誤會,並且僱用您的人具有完全的權限。可能出了什麼問題: Iowa vs Coalfire
當然,想要闖入您系統的“流氓滲透測試人員”(oxymoron)不會徵求您的許可,以進行測試和然後超出分配範圍。他們只會邀請自己。
不知道您是否是其中之一,但是某些公司/政府機構需要安全許可。這就稍微提高了標準:重罪犯不太可能獲得許可。像斯諾登先生這樣的例外,不存在0%的風險。
如果您的公司參與令人反感的活動,破壞環境,向暴君出售武器,那麼您可能會合理地擔心吹哨。這是一個難題-您擁有敏感信息,並且希望對其保密,但是為了保護它,您必須允許外部人員訪問它。您應該選擇一個在您的活動領域與公司合作有經驗並且對您的工作感到滿意的提供商。也許您的貿易機構或業務合作夥伴可以提供建議。口耳相傳。
如果您認為您的公司在發生數據洩露(偶然或其他情況)的情況下可能遭受財務損失/罰款,請與您的保險聯繫>公司。順便說一下,滲透測試公司也應該有責任保險。這是一個要問的問題。
違反是生活中的事實。幾乎所有公司都至少被黑客入侵過一次,或者將來會被黑客入侵。這是要考慮的事情。無論您是否決定繼續進行滲透測試,都應該準備好災難恢復計劃。我認為這是個好主意:如果至少出現問題,則可以證明您已做出合理的努力來防止違規。被發現存在過失的公司可能會受到以下方面的製裁:監管罰款,訴訟,消費者強烈反對,負面媒體曝光,股東反抗等。
如果要開發產品,則應該有一個具有不同環境的SDLC管道,例如DTAP,在該環境中應該有滲透測試人員在驗收環境中進行測試。保持環境與生產完全分離是一種安全性最佳實踐。因此,您的驗收環境應該是生產環境的功能副本,但不應包含生產憑證,來自用戶的數據,與生產環境的連接等。
通常為公司創建驗收環境網絡和服務器級別的挑戰。如果是這種情況,您可以大聲說他們應該在碰到生產系統時立即停止。如果滲透測試人員確實設法在某個地方找到生產憑證,或者意外地入侵了生產服務器,那麼您就像是發生了真正的違規行為-除了報警外-更改登錄憑證/監視服務器等。
概念/合同方面已包含在其他答案中,這非常重要。
但是,還有技術方面,尤其是在“最壞情況”方面影響”,並限制不必要的訪問。公司應該為滲透測試做好準備。
下面是一些示例:
應該可以在不訪問無關係統Y的情況下測試系統X。 。
這聽起來似乎很明顯,但是許多公司為員工提供了一個單一的登錄系統,該系統可以訪問所有系統-換句話說,X的測試憑據也可以訪問Y ,Z等。
相反,該公司應該能夠發行“受限訪問”令牌。在設計憑據系統時,即使一開始沒用(很少有員工,每個人通常都是受信任的...),也應該添加此要求。
應該在再說一次 realistic 環境
,聽起來似乎很明顯,但是...您的測試環境中是否包含現實數據/腳本/程序/等?你有自動發電機嗎?是否涵蓋了所有有趣的案例?如果不是,那麼對真實數據進行快照和匿名化是否可行?
令人驚訝的是,您的測試系統應該比真正的系統更完整 –您應該添加所有棘手的案例請記住,即使您還沒有真正接觸過它們。
應該事先確定通信線路和期望
萬一遇到麻煩,滲透測試者應該聯繫誰?您準備好快速恢復測試(或生產!)系統並將其備份嗎?
您是否希望盡快發現關鍵問題?您要在測試進行時修補系統嗎?您是否希望嘗試持久性?跨服務器攻擊/“橫向移動”?社會工程學?
更棘手的是:滲透測試者是否應該閱讀可疑數據,他們可以確認情況嗎? (“正在測試數據,請繼續”與“我們不希望此數據存在/可以訪問,請立即停止”)
其中包含什麼範圍?緊密相關:您的威脅模型是什麼?
雖然您可以要求滲透測試人員“弄清楚”它,但這可能不是您想要的-記住,結果需要有用來您並代表您的安全邊界。
通常最好與滲透測試者一起弄清楚這一點,並準備在努力中不斷發展
問題當然是轉彎的:如果您可以阻止測試人員進行某些訪問,那麼您肯定會阻止外國人/攻擊者訪問此文件。因此,使五分之一個月的訪問者所採取的措施完全是您已經到位並想要測試。沒什麼區別。
唯一可能的選擇是讓滲透測試人員去往從您的產品環境中復制的專用測試環境,但是沒有實時數據,這當然會增加成本,並且您會冒險克隆的細節可能會有所不同並稀釋結果。對此進行的比較溫和的修改可能是僅切斷最有價值的IP和數據數據庫/ NAS等,或將虛擬數據庫附加到產品系統中。
您的問題更多是關於對您所關注問題的風險處理的問題,這些問題應由第三方風險管理中定義的適當條款涵蓋:
作為滲透測試之後證明洩漏的實際數據洩漏問題的另一種措施,您可以在實際數據中添加一些蜜罐數據在筆試時間。因此,如果存在洩漏並且其中包含蜜罐數據,則可以更好地證明數據洩漏實際上來自滲透測試。
您在問錯問題。滲透測試人員通過模擬攻擊者的行為來測試安全性。如果您比惡意行為者更擔心滲透者竊取您的數據,我建議您重新考慮您的安全體系結構。
在安全的環境中,應該有“深度防禦”,其中具有多個安全控制措施,以防萬一發生故障時提供冗餘。控件可以是技術(如防火牆,IPS,EDR),策略(請勿在外部系統上使用您公司的信譽)或用戶培訓(請勿單擊該網絡釣魚鏈接)。多個控件應旨在捕獲任何惡意行為。進行滲透測試的目的是找出沒有多個控件或任何控件的空白。找到這些差距之後,就可以採取補救措施,以更多技術,程序或用戶意識培訓的形式實施其他控件。
沉迷不應是對抗性的。滲透測試人員和管理員/安全團隊應該進行良好的協作。