“实战是检验安全的唯一标准”
随着企业业务规模的不断扩大,信息化应用的快速发展,数据和业务安全已成为企业防御的重点领域,成为企业信息安全官在战略规划中必须谨慎处理的问题。
当前,全球网络空间对抗加剧,网络军事化特征显著,信息安全面临严峻挑战,各国对此愈发重视。今年的网络安全红蓝对抗为人们的安全观念和意识转变提供了契机。尽管企业安全防御技术存在争议,但一致认为,通过对抗演练来检验是建立最佳安全防御体系的有效方法。
市场上对红蓝对抗的需求不断增加,攻防演练受到企业的重视。攻击视角能够帮助防守团队发现防御中的盲点,企业级渗透测试服务的采购也成为企业安全团队考虑的问题。
企业级渗透测试服务是一种工程化的项目服务,具有完整的管理流程和标准化服务。尽管渗透测试方法各有不同,但仍有一些标准化的方法体系规范,这些规范对于企业内部安全部门提供安全测试服务具有参考价值。
PTES(渗透测试执行标准)是安全行业在渗透测试技术领域开发的新标准,也是广泛应用的事实标准。新标准的核心理念是通过建立渗透测试的基本准则基线,来定义一次真正的渗透测试过程,已获得安全行业的广泛认可。
高价值的渗透测试活动涉及对现实世界中恶意攻击者使用的技术进行建模、发现漏洞,并在一定受控环境下,根据预先设计的参与规则和协定范围,以专业、安全的方式利用这些漏洞。此过程有助于确定业务风险和可能受到攻击的影响,旨在帮助企业组织改善其安全现状。
以下是安全专家总结的渗透测试某些阶段的提示,以帮助您在日常工作中提供更高的业务价值。这些建议既可以作为安全部门内部提供标准化服务建设的成熟建议,也可以作为组织寻求企业级渗透测试服务的标准化要求。
前期交互:
情报侦察:
脆弱性分析:
密码攻击:
渗透测试:
-
后渗透:
当您获得对目标计算机的访问权限时,请不要立即使用它来扫描内网更多目标,因为这会使您过早被检测到。相反,应根据网络活动发现其他潜在目标信息。
当您获得对目标的访问权限时,如果计算机上安装了嗅探器(如tcpdump或Wireshark的tshark工具),则运行它以查找网络流量以识别其他可能的目标计算机,以及包含敏感或有用信息的明文协议。
即使没有目标计算机上的root、system或admin权限,您仍然可以执行非常有用的后渗透活动,包括获取用户列表,确定已安装(可能是易受攻击)的软件以及在系统中进行操作。
-
当您进入Windows系统时,寻找端口445(SMB)和3389(RDP)的STABLISHED TCP连接,因为这些系统可能是很好的跳板机。使用如下的命令:
c:\> netstat -na | find "EST" | find ":445" c:\> netstat -na | find "EST" | find ":3389"
虽然它们对管理人员演示效果非常有用,但对打开摄像头并从受感染的目标机器中捕获音频,要保持小心谨慎。只有在获得书面许可的情况下才能进行这种侵入性访问,并由您的法律团队进行审核,以确保符合当地法律。
-
编写报告:
通过IP地址(如果您拥有IPv4和IPv6)、域名(如果有)和MAC地址(特别是对于使用DHCP的受损客户机)识别目标。
不要等到渗透测试结束才开始编写报告。相反,在渗透测试进行时随时记录编写报告,每天留出时间写一到三页,这样不但会写出更好的报告,您的成果也会更好。
在您的报告中添加截图,以清楚地说明调查结果。用箭头和圆圈标注截图,指出插图的重要点。
如果想要为您的修复建议增加额外的价值,请考虑增加操作人员可以采取的易于落地的步骤,以验证建议的修复是否到位,例如检查补丁是否存在的命令。对于某些发现的问题,这可能很难做到,所以在这些情况下,建议重新测试给定的问题。
-
在报告的每个部分为适当的读者受众撰写不同结构的报告:
- 执行摘要应该适用于分配资源的决策者。
- 应根据业务问题从技术角度撰写调查结果。
- 修复建议应充分考虑到运营团队及其流程。
*本文原创作者:两块,本文属于FreeBuf原创奖励计划,未经许可禁止转载。
