对于专业的渗透测试人员,人们通常称之为道德黑客、白帽黑客或红队队员。渗透测试人员有时也背负骂名——因为花费时间采用大量勒索软件攻击很多企业。
渗透测试人员的工作是帮助企业加强网络安全防护以确保业务安全。渗透测试人员充当了勒索软件攻击者,根据他们的经验,企业应该提出以下五个问题:
1、可以突破安全边界吗?
如今,有很多方法能够突破企业的安全边界。可以在企业的一个Web应用程序中查找SQL注入漏洞。渗透测试人员可以尝试猜测企业的VPN凭据,或者查找企业的防火墙配置中的错误,以便访问敏感服务或应用程序。
作为勒索软件攻击者,渗透测试人员不太可能以企业为目标扫描安全边界以查找问题,然后尝试利用其中的漏洞进入企业内部。与其相反,会将互联网视为目标。扫描感兴趣的一个特定漏洞会更容易,而找到100个存在该漏洞的系统,然后调查拥有这100个系统的企业。换句话说,渗透测试人员不一定要将企业作为一个目标,而将其作为易受攻击系统的所有者。
2、可以对企业的用户进行网络钓鱼吗?
当然,很多企业已经实施了防御措施,使攻击者实施网络钓鱼变得更加困难和耗时。但是域名很便宜,电子邮件也是免费的,所以经常都会进行尝试。另外,网络钓鱼是一种无限制重新尝试的游戏——只需让一个用户点击一次就有可能成功,而企业希望其用户不要点击。渗透测试人员可以继续尝试借口/有效负载的不同迭代或转移到另一个目标。如果用户点击,那么网络钓鱼就开始了。
企业要知道要设置什么样的防御措施。需要强大的端点控制,包括EDR和受限权限。需要电子邮件过滤来检查邮件属性,例如源域的历史和声誉。而且,当然需要培训进行,从企业高级管理人员到新员工,以确保他们具有电子邮件的安全防范意识。
3、关键备份是否可行并得到良好保护?
受损的备份基础设施通常是勒索软件攻击中的致命一击。如果攻击者可以访问企业的关键备份并删除或加密其备份文件,那么企业将失去恢复业务的唯一选择。这将让企业陷入困境。
要维护故障转移选项,必须保护备份基础设施。多因素身份验证很重要,网络分段也很重要。企业的备份服务器应该位于单独的域中,并且其每个用户都不能通过网络访问。此外,备份基础设施不与其他生产系统共享凭据也是至关重要的。
另一个警告是:企业的备份系统必须工作。确保负责执行和测试备份系统的人定期这样做。当企业遭遇勒索软件攻击时,在可恢复性方面不能存在问题。
4、可以保持多久不被发现?
这是渗透测试人员从充当勒索软件攻击者的过程中学到的最重要的经验之一:攻击者探索企业的运营环境的时间越长,成功的机会就越大。如果勒索软件攻击者侵入一小时内被检测到并被清除,通常不会有太多机会发动成功的攻击。但是,如果有几天时间横向移动并破坏其他系统,那么通常会带来更大的损害。
快速而准确的威胁检测对于企业的反勒索软件工作至关重要。企业需要来自端点、网络和云平台的大量遥测数据;需要能够理解遥测数据,而不会被警报疲劳所淹没;还需要立即发现和识别活跃威胁,并转化为果断行动以消除威胁。
5、安全团队成员齐全吗?
坦率地说,如果渗透测试人员和其团队攻击人手不足的安全运营中心(SOC)几乎都会成功。这只是一场数字游戏,但是已经通过渗透测试和红队对抗策略的企业更难破解。这主要是因为已经让渗透测试人员对他们进行了多次攻击——所以渗透测试人员发现漏洞,并帮助他们修复了这些漏洞。
如果企业并不是容易攻击的目标,大多数网络攻击者会转移到更易受攻击的环境。几乎所有网络攻击者也是如此。
好消息是,如果能快速减缓攻击者的速度,他们很可能会攻击另一个更容易的目标,这可能是企业最好的防护。