采用基于风险的渗透测试方法

风险管理是组织实现信息安全的最重要的部分之一. 网络风险专家可能熟悉更经典的风险评估方法, 这些通常记录在微软Excel表格上并每年执行一次. 从遵从性和审计的角度来看，这种方法是可以接受的, 但仅仅全面(或必须正确)地管理风险是不够的。.

最佳风险管理程序应处理所有潜在的风险来源(图1)，而传统方法主要依靠从访谈中获得的数据. 威胁和漏洞报告的内容应该作为组织风险的可能来源进行评估和处理. 安全事件可以作为识别风险根源的指标. 记录在各种审计报告中的缺陷和不符合事件(例如.g.(法律遵从性、标准认证)也可以通知降低风险的行动. 渗透(渗透)测试的结果也值得使用基于风险的方法进行检查.

渗透测试结果常见问题解答

渗透测试报告包含可以计算技术严重性的已识别漏洞. 另外, 测试人员可以为风险评估(基于受影响的数据类型)和相关的分类提供指导, 理想情况下是基于定义良好的方法. 但这不是基于业务影响的传统风险评估, 而, 它是基于渗透测试人员可用的有限信息的估计. 这种外部评估的评分方法没有计算开发造成的危害, 哪些会导致过程受到影响的风险增加. 这意味着，根据可能的损害或受影响的业务流程中内置的补偿控制的业务影响，分类为关键的漏洞可能呈现较低级别的风险, 这也可以降低风险发生的可能性. 例如, 渗透测试人员可以使用一般和易于执行的攻击方法获得对被测试系统中所有数据的未经授权的只读访问, 但受影响的信息本身不能被解释, 减少影响. 另外, 潜在的攻击者很容易导致系统关闭, 但是，受影响进程的中断将导致较低程度的损害, 导致澳门赌场官方下载面临较低或可能可接受的风险水平.

网络风险专家经常会收到关于这类话题的问题. 回答这些问题很重要, 消除疑虑并支持信息安全管理人员找到最合适的方法来处理渗透测试的发现.

回答[问题]很重要, 消除疑虑并支持信息安全管理人员找到最合适的方法来处理渗透测试的发现.

网络风险专家可能会遇到一些常见问题(FAQ). 这些问题及其相应的答案包括:

• “我们必须解决渗透测试发现的所有问题吗?”而不一定是. 确定风险应对方法和缓解措施，并优先考虑应对措施, 组织应该评估已识别漏洞的业务影响并评估风险. 如果发现是可接受的，基于风险评估结果, 管理层可以决定接受风险，并确定不需要采取纠正措施.
• “如果我们解决了所有问题，那么就不会再有问题了，对吧?”—No. 每种类型的审计只提供被调查组织或系统的快照. 不能保证以后不会出现其他类型的攻击和漏洞, 特别是在环境变化的情况下, 开发或升级. 像这样, 渗透测试应该定期进行, 在系统发生重大变化的情况下，建议在纠正后进行额外的审计. 在信息有限的情况下进行测试, 从长远来看，确定和处理这些发现的根本原因，以消除所有类别的漏洞也很重要.
• “我们能否将这一发现的风险水平重新分类为临界/低??”-渗透测试报告包含根据执行审计的专家使用的方法对发现进行分类. 正如前面提到的, 这些陈述没有完全评估风险和业务影响, 通常，完整的风险评估不是渗透测试的一部分. 建议使用外部支持的风险评估来扩展项目，或者在内部评估结果，并用修改后的分类来补充原始结果(可能是其他漏洞报告的情况)。. 因此，评估中等风险的发现是至关重要的，或者 反之亦然, 但是应该单独记录, 原始的渗透测试报告中没有, 并基于适当的评估.
• “难道这个结果根本不会出现在报告中吗??”—No. 审计报告应包含所有事实陈述和调查结果. 如果有任何理由减轻或修改结果, 专家可以将它们插入到文档中, 但删除语句是不专业的，以后甚至可能是不利的.g.，如果环境发生变化)。.
• “这个结果是可以接受的风险水平吗? 我们能接受所有的调查结果吗?”-组织是否认为风险是可接受的, 是的, 但是渗透测试不包括对业务影响的完整风险评估或调查. 决定是否接受一定程度的风险, 应执行前面提到的分析，并确认决策的原因. 在不了解业务影响的情况下接受风险可能会导致严重的损害(例如.g., 如果未修补的漏洞被利用, 攻击者可以破坏机密性, 受影响数据的完整性和可用性(CIA).
• “我们与其他组织相比如何? 其他组织如何处理报告发现?”-每个组织都不一样, 因此，相似的渗透测试结果可能呈现不同程度的风险和, 因此, 不同的风险处理方法. 风险承受能力(i).e.(组织为实现其目标而进行风险处理后承担风险的准备程度)¹ 风险偏好(i.e., 风险的类型和数量, 从广义上讲, 一个组织在追求价值的过程中所愿意接受的² 是否也能影响风险管理决策, 所以这些问题没有普遍的正确答案. 建议对发现的业务风险进行评估，并根据评估结果对决策负责, 而不是模仿其他具有不同风险概况的澳门赌场官方下载.

将渗透测试结果转化为信息安全风险

风险评估的步骤是风险识别、分析、评价和处理.³ 如列出的常见问题解答所示, 业务影响分析, 风险识别和评估对于渗透测试也是至关重要的. 组织应该有一个业务影响分析或(初步的)风险评估过程，以确定他们的关键资源, 即, 要进行渗透测试的资讯系统(图2). 风险识别包括对需要保护的数据和资产进行分类, 然后识别和描述对每个构成风险的漏洞和威胁.⁴ 如果组织没有任何支持性工具，初始访问点(例如.g.(外围系统、内部工作站)通常是初始渗透测试的首选目标. 应该指出的是，在没有确定皇冠珠宝的情况下(i.e., 组织最重要的资产), 实质性的漏洞和风险将不会被识别和评估, 因此，适当的风险评估仍然至关重要.

另一个经常被忽略的步骤是风险评估阶段, 在此期间，将评估结果与组织的风险概况进行比较.⁵ 在渗透测试中, 这也可能意味着根据其业务影响重新评估发现的风险. 如果没有评估渗透测试的结果, 这样，组织就不知道所识别的漏洞何时被利用，也不知道可能造成了什么损害. 在没有风险评估的情况下, 渗透测试结果所带来的风险的减少不能以一种(成本)有效的方式有效地执行. 通常, 易于修复和低成本的漏洞被优先考虑, 这不是问题吗, 如果它不妨碍解决更复杂(通常风险更高)的发现. 不幸的是，处理许多低风险问题可能会迅速耗尽宝贵的资源.

因为这些问题, 建议将风险评估方法应用于渗透测试，以确定目标系统并评估结果的风险区域. 这些步骤有助于就风险处理机会作出知情决定，并确定有效的风险应对行动.

结论

渗透测试是风险评估的关键部分. 测试结果探索并从技术上评估漏洞, 但是只有组织才能评估其组织风险的业务影响. 确定对报告发现的有效和高效的回应, 网络风险专业人员在规划风险缓解时，必须评估已识别漏洞的整个业务风险.

尾注

¹ 斯坦,K.; S. Quinn; G. Witte; R. K. 加德纳; NISTIR 8286:整合网络安全和澳门赌场官方下载风险管理(ERM), 美国国家标准与技术研究院，2020
² 同前.
³ 迪恩,.; A. 克劳斯; 官员(ISC)² CISSP CBK参考, 6^th 版美国，2021年
⁴ 同前.
⁵ 同前.

Eszter Diána Oroszi, CISA, CRISC, CISM, ISO 27001 LA

是匈牙利一家信息安全咨询公司的信息安全合规咨询部门的负责人吗. 她在信息安全领域有14年的经验, 对以人为基础的攻击特别感兴趣, 使用游戏化的社会工程审计和安全意识改进. 她也是风险管理和业务连续性项目的首席顾问, 她经常与道德黑客部门的成员合作，确定风险领域，帮助客户确定渗透测试的范围，并支持为已确定的漏洞选择最合适的风险响应方法.