渗透测试发现漏洞后会发生什么?

安全资讯 小布 409浏览 0评论

介绍

一旦渗透测试发现漏洞,该流程将决定管理层将如何处理这些发现。报告中提出的问题对管理层是否有意义。因此,渗透测试人员应考虑报告的语言和整洁度,以免因过多无用信息或技术术语而失去 C 级人员。

在本文中,我们将讨论有关渗透测试人员在发现客户参与中的漏洞后应如何行动的各个要点。我们考虑报告漏洞实例的方法以及修补已发现漏洞的过程。

渗透测试者应该如何进行?

当渗透测试人员发现网络安全存在缺陷或漏洞时,他们是立即通知公司还是提前完成测试以提交完整报告?报告过程的步骤是什么?

渗透测试人员将始终在组织内部、漏洞赏金狩猎或客户参与期间寻找安全漏洞。这几乎总是一个持续的练习,通常需要大量的时间和精力。

测试和报告通常基于定义要采取的必要步骤的方法。大多数渗透测试方法都需要渗透测试人员记录所有测试阶段的发现。

测试完成后,测试人员会将结果合并为一份完整的报告,然后与管理层共享。但是,一旦测试完成,这可能不会立即发生。这将取决于参与的范围,因此也取决于报告的大小。通常,渗透测试团队会要求客户召开退出会议,以标记渗透测试的结束。会议期间,对调查结果进行了讨论,并分享了一份“管理层回应”文件。这是客户对未发现的风险做出反应,选择避免、减轻或接受风险的时候。

规避风险的重点是消除风险。有些风险无法避免,因此缓解措施可以减少其影响。接受风险意味着客户只会忍受风险。

讨论客户应该期待最终报告的日期,并在约定的日期提交报告。一些客户可能会要求在他们对报告做出有效回应后执行重新测试。

由于环境的差异,各种因素都会影响报告提交的周转时间。其中一些包括:

工作范围

与测试范围内有大量主机的环境相比,需要更多的评估。每个主机都需要进行全面扫描以发现漏洞。但是,测试范围较小的环境通常会更快地生成文档。客户也可能需要一定深度的测试,或要求在最终报告发布前进行重新测试。这也会影响报告提交的周转时间。

维护需要测试的清单是组织在渗透测试之前必须执行的重要步骤。

“对于许多组织来说,盘点流程仍然是一个问题,”信息安全公司 @stake 的纽约专业服务区域总监 David Goldsmith 说。“问题随着组织的规模而变化——如果您的网络很小,手动系统可能会很好地工作。但随着网络规模的增加,收集和维护库存数据成为一项重大任务,需要自动化工具。”

漏洞数量

与发现漏洞较少的环境相比,环境中的多个漏洞需要更多的文档时间。这是因为必须记录受影响资产的每个实例,以及风险的严重性、建议和概念证明以重现问题。

测试类型

大多数情况下,与渗透测试相比,漏洞评估花费的时间要少得多。这是因为渗透测试需要更多的努力。还有手动渗透测试和高度自动化的渗透测试。例如,由于需要使用 OWASP Top 10 方法列表进行手动测试的测试可能需要更多时间,这最终会影响报告交付的周转时间。

公司如何运作?

公司在获悉网络漏洞后如何处理?谁负责开发补丁、新流程和后续维护?这样做所需的时间承诺和努力范围是多少?

当渗透测试完成并将报告提交给客户时,客户管理层将要求 IT 部门应用必要的补丁来解决已识别的问题。然后,IT 团队将联系不同受影响系统的流程所有者并提交变更请求。这涉及签署书面表格,概述要在系统或应用程序中进行的更改。该文件然后提交给流程所有者批准,流程所有者可能是网络、数据库、应用程序、安全系统等的负责人。一旦获得批准,将在受影响的系统内进行必要的更改,以及更改请求表归档以供参考。

修补安全问题所需的时间和精力取决于漏洞。一些漏洞需要整个系统补丁,在应用到实时系统之前必须在特殊环境中进行测试。有些可能需要升级受影响的软件,这有时只能由进行安装的供应商完成。因此,努力的程度差别很大。以尽量减少可能的风险敞口。优先级是关键!

影响大多数组织的另一件事是官僚主义。在应用简单的补丁之前,变更请求需要经过多个级别的批准,尤其是在金融机构等敏感环境中,导致需要一两周时间才能应用必要的补丁。这极大地影响了应用补丁的时间,并且因组织而异。

渗透测试人员需要传达哪些信息?

渗透测试人员的部分工作是以确保漏洞被调查的方式报告他们的结果。渗透测试人员必须确保在报告漏洞时,还提供他们的建议、修复信息以及重现漏洞所需步骤的详细信息。这可确保客户站点的技术团队能够监控漏洞、确认其存在并应用必要的补丁。

补救信息可能包括任何内容,从补丁链接到详细说明要采取的操作的分步说明。还应包括修补漏洞的难度级别,以便技术团队评估他们的工作水平。

报告和网络修补有何不同?

渗透测试者将发现网络中的一系列漏洞,这些漏洞将以多种方式影响网络节点。例如,一个旧的 IP 摄像机可能会被发现有一个固件后门,但供应商没有修补,在不久的将来没有修补的迹象。此类问题需要更换组织内的 IP 摄像机。这是渗透测试人员在报告中有效传达这一点所需要的。

或者假设发现网络上的许多 Windows 系统容易受到某个漏洞的攻击,但问题可以通过 Windows 操作系统修补程序解决。在这种情况下,渗透测试者应该在他们的报告中包含指向 Microsoft 安全公告的链接,以及 Microsoft 关于如何执行操作系统补丁的说明。

在某些环境中,设备具有多个设备的默认凭据,例如数据库、无线电、IP 摄像机,甚至是多个客户端 PC 的重复使用密码。在这种情况下,渗透测试人员需要记录重现如何发现默认凭据所需的步骤。

一些漏洞需要简单的修复,其中可能包括在受影响的服务器中对配置文件添加额外的条目。在这种情况下,渗透测试人员需要在报告的技术摘要部分清楚地给出影响变化的说明。

渗透测试人员如何向非技术客户解释重要细节?

在编写报告时,渗透测试人员了解报告将针对客户组织内的技术人员和非技术人员非常重要。因此,报告需要以兼顾双方的方式进行。例如,在包含信用卡信息等敏感信息的企业服务器上获得 root 权限令人印象深刻,但如果不是以他们可以理解的语言进行交流,这对关键决策者来说绝对没有任何意义。如果最高层人员无法阅读该报告,它很可能会被忽视,这只会使所有相关人员士气低落。

编写报告的最佳方式是确保有两个主要部分。这些将是执行摘要和技术摘要。执行摘要部分将包括调查结果的详细信息,以高层管理人员可以理解的方式进行总结,而技术摘要部分将包含与技术团队沟通的技术术语。

让我们看一个发现的例子,以及它如何在执行和技术摘要部分中表示:

执行摘要

  • 漏洞:目录列表 (Apache)
  • 观察:发现了一个允许个人浏览网站内容的漏洞。
  • 风险和业务影响:该问题可能允许攻击者从网站后端获取源代码和敏感文件,例如配置文件。
  • 建议:强烈建议对 Web 服务器内的文件和文件夹进行适当的配置,以确保未经授权的个人无法访问这些文件。

技术摘要

漏洞:目录列表 (Apache)

  • 观察:我们在网站上发现了目录列表问题。Web 服务器以位于目标目录中的文件列表作为响应。
  • 风险和业务影响:攻击者可以看到位于目录中的文件,并可能访问泄露敏感信息的文件
  • 建议:更改服务器配置文件。所请求目录的推荐配置应采用以下格式:
<Directory /{YOUR DIRECTORY}>选项 FollowSymLinks </Directory>

从配置中删除索引选项。还要确保删除 MultiView。配置服务器以禁止目录列表请求

结论

渗透测试人员必须确保在发展技术技能的同时,也发展他们的沟通技巧。与 C 级人员的沟通,无论是在报告中还是当面,都应该简单易懂。应注意不要在专供更多技术人员使用的术语中丢失它们。

在与技术团队沟通时,渗透测试人员应确保他们为发现的漏洞提供解决方案。这为技术人员提供了便利,并使他们在修补受影响的系统和应用程序时更容易工作。

 

转载请注明:布尔云安的博客 » 渗透测试发现漏洞后会发生什么?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址