趋势与观点 | 采用基于风险的方法进行渗透测试

风险管理是组织信息安全最重要的组成部分之一。网络风险专业人士可能熟悉更经典的风险评估方法,这些方法通常记录在 Microsoft Excel 表格中并每年执行一次。从合规性和审计的角度来看,这种方法可能被认为是可以接受的,但它不足以全面(或不一定正确)地管理风险。

最佳的风险管理流程应该解决所有潜在的风险来源(图 1 ),这与传统方法不同,传统方法主要依赖于从访谈中获得的数据。应当评估威胁和漏洞报告的内容,并将其视为组织风险的可能来源。安全事件可用作识别风险根本原因的指标。各种审计报告(例如,法律合规性、标准认证)中记录的缺陷和不合规事件也可以为风险缓解措施提供信息。渗透测试的结果也应该使用基于风险的方法进行检查。

渗透测试结果常见问题解答

渗透测试报告包含已识别的漏洞,可以为其计算技术严重性。此外,测试人员可以为风险评估(基于受影响的数据类型)和相关分类提供指导,最好基于明确定义的方法。但这不是基于业务影响的传统风险评估,而是基于渗透测试人员可用的有限信息的估计。这种外部评估的评分方法没有计算利用漏洞造成的危害,这导致流程受影响的风险增加。这意味着,根据可能损害的业务影响或受影响业务流程中内置的补偿控制,归类为严重的漏洞可能会带来较低级别的风险,这也可能降低风险发生的可能性。例如,渗透测试人员可以使用通用且易于执行的攻击方法对被测系统中的所有数据进行未经授权的只读访问,但无法理解访问的信息,从而降低了影响。或者,潜在的攻击者可能很容易导致系统关闭,但受影响进程的中断将导致较低程度的损害,从而导致较低或可能是可接受的企业风险水平。

网络风险专业人士经常收到此类问题。重要的是给出答案,消除疑虑并支持信息安全经理找到最合适的方法来解决渗透测试结果。

网络风险专业人员可能会遇到许多常见问题 (FAQ) 。这些问题及其相应的答案包括:

  • “我们是否必须解决渗透测试发现的所有问题?” -不必要。为了定义风险应对方法和缓解措施并确定对策的优先级,组织应评估已识别漏洞的业务影响并评估风险。如果根据风险评估结果认为调查结果可以接受,则管理层可以决定接受风险并确定不需要采取纠正措施。

  • “如果我们解决了所有问题,那么就不会再有问题了,对吧?” -不。每种类型的审计仅提供被调查组织或系统的快照。无法保证以后不会出现其他类型的攻击和漏洞,尤其是在环境变化、发展或升级的情况下。因此,应定期进行渗透测试,如果系统发生重大变化,建议在更正后进行额外审计。当使用有限的信息执行测试时,识别和处理结果的根本原因以从长远来看消除整类漏洞也很重要。

  • “我们能否将这一发现的风险级别重新分类为严重/低?” 渗透测试报告包含根据执行审计的专家使用的方法对调查结果进行的分类。如前所述,这些陈述并未全面评估风险和业务影响,并且通常完整的风险评估不是渗透测试的一部分。建议通过外部支持的风险评估扩展项目或内部评估调查结果并用修改后的分类补充原始结果(其他漏洞报告可能就是这种情况)。因此,将中等风险的发现评估为关键不是问题,反之亦然,但应该基于适当的评估单独记录,而不是记录在原始渗透测试报告中。

  • “这个结果能不能不出现在报告中?” -不能。审计报告应包含所有事实陈述和调查结果。如果有任何理由减轻或修改结果,专家可以将它们插入文档中,但删除语句是不专业的,甚至对以后可能是不利的(例如,如果环境发生变化)。

  • “这个结果是可接受的风险水平吗?我们能接受所有的发现吗?” — 如果组织认为风险可以接受,是的,但渗透测试不包括完整的风险评估或业务影响调查。要决定是否接受一定程度的风险,应进行前面提到的分析并确认做出决定的原因。在不知道业务影响的情况下接受风险可能会导致严重的损害(例如,如果未修补的漏洞被利用,攻击者可能会损害受影响数据的机密性、完整性和可用性 [CIA])。

  • “我们与其他组织相比如何?其他组织如何处理报告结果?” — 每个组织都是不同的,因此类似的渗透测试结果可能会带来不同程度的风险——因此,也会有不同的风险处理方法。风险承受能力(即组织在风险处理后为实现其目标而承担风险的意愿)和风险偏好(即组织在广义上愿意接受的风险的种类和数量,以追求其价值)也会影响风险管理决策,所以这些问题没有普遍正确的答案。明智的做法是评估调查结果的业务风险,并根据评估结果对决策负责,而不是模仿其他具有不同风险状况的企业。

将渗透测试结果转换为信息安全风险

风险评估的步骤是风险识别、分析、评价和处理。 正如列出的常见问题解答所揭示的那样,业务影响分析、风险识别和评估对于渗透测试也很重要。组织应制定业务影响分析或(初步)风险评估流程,以确定其关键资源,即要通过渗透测试调查的信息系统(图 2 )。风险识别包括对需要保护的数据和资产进行分类,然后识别和描述对它们构成风险的漏洞和威胁。如果组织没有任何支持工具,初始访问点(例如周边系统、内部工作站)通常是初始渗透测试的良好首要目标。应该注意的是,如果不识别对组织最重要的资产,将无法识别和评估大量漏洞和风险,因此适当的风险评估仍然至关重要。

另一个经常被忽视的步骤是风险评估阶段,在此期间将评估结果与组织的风险状况进行比较。 在渗透测试的情况下,这可能还意味着根据其业务影响重新评估调查结果的风险。如果不评估渗透测试的结果,组织将不知道已识别的漏洞何时被利用或可能造成什么损害。在没有风险评估的情况下,无法以(成本)有效的方式有效地降低渗透测试结果带来的风险。通常,优先考虑易于修复和低成本的漏洞,如果它不妨碍解决更复杂(通常风险更高)的发现,这将不是问题。不幸的是,处理许多低风险问题会很快耗尽宝贵的资源。

由于这些问题,建议将风险评估方法应用于渗透测试以确定目标系统并评估结果的风险区域。这些步骤支持就风险处理机会做出明智的决策,并确定有效的风险应对措施。

结论

渗透测试是风险评估的重要组成部分。测试结果探索并从技术上评估漏洞,但只有组织自己才能评估其组织风险的业务影响。为了确定对报告结果的有效响应,网络风险专业人员必须在规划风险缓解时评估已识别漏洞的全局业务风险。

编者注:本文首次发表于2022年10月24日ISACA官网News and Trends /Industry News。尾注略。文章内容仅代表作者本人观点。
作者:Eszter Diána Oroszi, CISA, CRISC, CISM, ISO 27001 LA,是匈牙利一家信息安全咨询公司信息安全合规咨询部门的负责人。
翻译:王刘东博(Franklin Wang)关注渗透测试,web安全,ISACA微信公众号特邀通讯员,任职于安永企业咨询有限公司。
校对:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。