避雷經驗：滲透測試服務商選型指南 - 網安 - 專業的網絡安全產業、社區、知識平臺

數量不斷攀升的漏洞，是紅隊進行攻擊的重要突破口。2021年，新增漏洞創下歷史新高，首次超過了20,000個，達到20,175個CVE，比2020年增長了10%，這是自2018年以來最大的增長。另外，根據 Ponemon 研究所與 IBM 發布的《2021 數據泄露成本報告》顯示，2021 年數據泄露的平均成本是 424 萬美元，漏洞問題不容忽視。

滲透測試在評估企業面臨的漏洞風險、合規能力及安全運營測試方面起著關鍵作用。那么組織機構如何選擇滲透測試服務的安全廠商呢？本文從知己和知彼兩個維度，詳細介紹企業進行滲透測試前要考慮的因素，以及如何通過結構化方法準確評估和選擇滲透測試的安全廠商。【文末可下載完整版《滲透測試服務商選型指南》】

網絡安全應優先考慮針對外部攻擊的網絡安全，在攻防演練中主要是紅隊穿透網絡。滲透測試在網絡安全威脅管理方面是公認有效的手段。它通過檢測和修復漏洞，確保企業的網絡安全。通過滲透測試定期進行漏洞管理可以讓組織機構詳細地了解安全漏洞并采取相應的控制措施。

知己：明確企業進行滲透測試的需求

如果企業組織確定需要滲透測試，那么安全負責人在選擇安全廠商之前，應首先明確滲透測試的類型、目標以及范圍等需求信息。

1、明確滲透測試的類型

滲透測試的類型

安全負責人在嘗試評估組織機構的安全狀況時，可以從白盒測試開始，這是一種輕量級評估。然后轉到灰盒測試，針對特定資產進行測試。最后一個階段是黑盒測試，它測試的是防御、檢測和響應實際攻擊的能力。

2、確定滲透測試目標、需求和邊界

不同企業組織進行滲透測試的目標不盡相同，可能是發現資產中的脆弱性；或是利用這些脆弱性來破壞系統，確定外部攻擊者是否可以進入內部網絡；也可能是確認無線訪問點是否允許未經授權的企業網絡訪問，以及攻擊者是否能夠以辦公室內某一個員工為跳板連接到公司網絡。這些目標表明了滲透測試的廠商如何在規定的測試范圍內實現測試目標。

企業組織在確定滲透測試需求時要從測試范圍和目標出發，并結合相關人員（尤其是IT基礎架構和業務應用所有者）的意見。此外，IT部門以外的業務負責人需要提供與測試范圍和目標有關的操作風險偏好方面的意見，因為測試可能會對運營產生負面影響。在確定測試需求和測試邊界時要注意以下問題：

● 測試包含哪些類型的資產（設備、主機、應用、環境和人員）？有沒有時間限制？

● 測試哪些環境（例如僅測試開發環境還是包括生產在內的所有環境）？

● 測試范圍內是否包括IaaS、PaaS或SaaS之類的云服務？

● 當測試人員進行真實的漏洞利用時，組織愿意在測試范圍內圍繞資產的可用性和完整性承擔多少風險？

● 如果進行遠程測試如何提供訪問、監控權限？廠商是否需要在組織機構的網絡上部署自己的產品以便進行內部滲透測試？

● 需要詳細的溝通和升級備用計劃。雙方必須就“無假設”策略達成一致。例如，如果系統無響應，則表示發現了重大漏洞或發生了入侵。溝通必須及時且清晰明了。

● 明確給予滲透測試廠商多大程度的獨立性？賦予的權限越多，風險越高，但是結果可能會更全面和徹底。

知彼：通過結構化方法比較、評估和選擇服務商

企業組織在確定好自身進行滲透測試的需求后，可以按照需求選擇具體的廠商。首先選擇部分滲透測試廠商的候選清單，并發布一份RFP（需求建議書）。按照需求建議書對廠商的優缺點進行統一對比。

RFP應該包括四個核心部分：

● 企業組織的詳細信息、相關背景信息、進行測試的動因以及滲透測試的范圍和目標，在企業組織可接受的范圍內，盡可能與外部共享更多信息。

● 相關測試需求和范圍，包括測試目標和測試范圍的描述，以及溝通方法和預期完成日期等信息。

● 確定廠商在回應RFP時需要回答的特定問題，這些問題旨在評估廠商能力，在比較和最終選擇階段，這些問題將起到關鍵作用。

● 標準的RFP采購信息和問題，包括RFP答復的格式、聯系方式、商業詳細信息、客戶參考信息和答復截止日期。

企業組織在評估廠商的過程中應重點關注以下問題：

● 廠商的測試人員的技能、經驗和資質怎樣？滲透測試人員的經歷，以及在類似規模的組織和IT環境中的滲透測試經驗，要求廠商提供滲透測試人員簡歷和涉及類似目標的案例作為補充。

● 初始測試通常使用自動化工具映射網絡并收集潛在目標的信息，但部分廠商更依賴手動測試。手動測試的數量會影響測試項目的持續時間和成本。所以要了解手動測試和自動測試的相對比例，進而了解廠商之間的成本差異。

● 了解測試報告和結果的撰寫方式。報告是使用標準模板還是按需定制。確定報告是否包含執行摘要、調查結果的詳細技術說明、補救指南、使用方法和執行測試的清單，以及是否提供信息以證明利用漏洞的方式。要求廠商提供類似活動的報告示例。

● 了解滲透測試的管理流程，以及在測試過程中，如何傳達狀態更新和漏洞發現等信息。例如，測試期間定期舉行會議以解決問題或緊急情況，以及每周舉行一次簽到會議來評估進度。

● 了解廠商滲透測試的報價費用，比如每天和每小時的總成本明細。如果測試的時間比預計的長，那么如何處理超額費用，以及額外測試時間的費率是多少？

企業組織要重點關注成功滲透測試的關鍵因素，如下圖所示，展示了成功的滲透測試的四個因素，這些因素為最終的廠商選擇提供更多背景信息。

成功進行滲透測試的4大關鍵因素

● 滲透測試報告：查看樣本報告和其他材料。報告的內容是否詳細？提供的信息是否有用？報告的細粒度對短期和長期優先處理漏洞是否有用？報告的格式是否可以按照需求輸出？

● 滲透測試的管理和溝通渠道：確認是否需要提供專門的測試管理資源來支持滲透測試服務人員，以及溝通渠道和節奏是否足以應對復雜的情況。

● 專業知識和經驗：首先關注安全廠商的工作及其實現目標的能力，然后比較價格。比較價格時，應特別注意評估滲透測試服務和報告生成的天數，時間的差別通常可以說明為什么廠商價格差異很大。

選擇廠商是組織機構進行滲透測試的第一步，也是最關鍵的一步。通過結構化分析方法，企業組織可以在合理的預算內，為自己選擇最合適的滲透測試廠商，最大程度了解自身的安全狀況，從而有針對性地有效提高安全防護。

青藤滲透測試服務由專業滲透測試工程師，模擬黑客可能使用的攻擊和漏洞發現技術，對目標應用系統及其宿主服務器進行深度漏洞挖掘，發現WEB應用系統、APP程序中存在的安全漏洞，進行漏洞可利用性驗證，并提供包含完整漏洞信息、系統化處置建議報告，幫助客戶盡早發現漏洞、修復漏洞，進一步加固企業組織的數字化安全防線。