专业渗透测试人员通常被称为道德黑客、白帽黑客或红队。渗透测试人员有时也因花时间使用大量勒索软件攻击许多企业而臭名昭著。渗透测试人员的工作是帮助公司加强网络安全防御,以确保业务安全。根据作为勒索软件攻击者的渗透测试人员的经验,组织应该问以下五个问题:1.是否有可能突破安全边界?今天,有许多方法可以突破企业的安全边界。有可能在某企业的Web应用程序中发现SQL注入漏洞。渗透测试人员可以尝试猜测公司的VPN凭据,或查找公司防火墙配置中的错误,以便访问敏感服务或应用程序。作为勒索软件攻击者,渗透测试人员不太可能以企业为目标扫描安全边界以查找问题,然后尝试利用其中的漏洞进入内部。相反,Internet被视为目标。扫描感兴趣的特定漏洞比找到具有该漏洞的100个系统然后调查具有这100个系统的企业要容易得多。换句话说,渗透测试人员不一定将企业作为目标,而是作为易受攻击系统的所有者。2、是否可以对企业用户进行钓鱼?当然,许多企业已经实施了防御措施,使攻击者进行钓鱼的难度和时间都增加了。但是域名很便宜,而且电子邮件是免费的,所以总是值得一试。此外,网络钓鱼是一种无限重试的游戏——用户只需点击一次即可成功,而企业希望他们的用户不要点击。渗透测试人员可以继续尝试假装/有效负载的不同迭代或移动到另一个目标。如果用户单击,则网络钓鱼开始。企业需要知道要采取哪些防御措施。需要强大的端点控制,包括EDR和受限权限。邮件过滤需要检查邮件属性,例如源域的历史和信誉。当然,从公司高管到新员工都需要进行培训,以确保他们了解电子邮件安全预防措施。3.关键备份是否可行且受到良好保护?受损的备份基础设施通常是勒索软件攻击的致命一击。如果攻击者获得了对企业关键备份的访问权限并删除或加密了其备份文件,则企业将失去恢复业务的唯一选择。这将使企业陷入困境。要维护故障转移选项,必须保护备份基础设施。多因素身份验证很重要,网络分段也很重要。企业的备份服务器应该在一个单独的域中,每个用户都不能通过网络访问。此外,备份基础架构不与其他生产系统共享凭据也很重要。另一个警告:企业的备份系统必须正常工作。确保负责实施和测试备份系统的人定期这样做。当企业遭受勒索软件攻击时,可恢复性不会成为问题。4.你能保持多长时间不被发现?这是渗透测试人员可以从勒索软件攻击者身上学到的最重要的教训之一:攻击者探索组织的操作环境的时间越长,他们成功的机会就越大。如果勒索软件攻击者在入侵后的一个小时内被检测到并被移除,通常攻击成功的可能性不大。但是,如果您有几天的时间横向移动并扰乱其他系统,那么您通常会造成更大的破坏。快速准确的威胁检测对于企业的反勒索软件工作至关重要。企业需要来自端点、网络和云平台的大量遥测数据;需要能够理解遥测数据而不会被警报疲劳所淹没;并且需要立即发现和识别活跃的威胁,这转化为消除威胁的果断行动。5.安保团队人员配备齐全吗?坦率地说,如果渗透测试人员和他的团队攻击一个人手不足的安全运营中心(SOC),它几乎总是会成功。这只是一场数字游戏,但通过渗透测试和红队战术的企业更难破解。这主要是因为他们让渗透测试人员多次攻击他们——所以渗透测试人员发现了漏洞,并帮助他们修复了这些漏洞。如果企业不是一个容易攻击的目标,大多数网络攻击者将转移到更易受攻击的环境中。几乎所有网络攻击者都是如此。好消息是,如果攻击者能够迅速减速,他们很可能会击中另一个更容易的目标,这可能是企业最好的防御措施。
