對于專業(yè)的滲透測試人員，人們通常稱之為道德黑客、白帽黑客或紅隊(duì)隊(duì)員。滲透測試人員有時(shí)也背負(fù)罵名——因?yàn)榛ㄙM(fèi)時(shí)間采用大量勒索軟件攻擊很多企業(yè)。

滲透測試人員的工作是幫助企業(yè)加強(qiáng)網(wǎng)絡(luò)安全防護(hù)以確保業(yè)務(wù)安全。滲透測試人員充當(dāng)了勒索軟件攻擊者，根據(jù)他們的經(jīng)驗(yàn)，企業(yè)應(yīng)該提出以下五個(gè)問題：

1、可以突破安全邊界嗎?

如今，有很多方法能夠突破企業(yè)的安全邊界。可以在企業(yè)的一個(gè)Web應(yīng)用程序中查找SQL注入漏洞。滲透測試人員可以嘗試猜測企業(yè)的VPN憑據(jù)，或者查找企業(yè)的防火墻配置中的錯(cuò)誤，以便訪問敏感服務(wù)或應(yīng)用程序。

作為勒索軟件攻擊者，滲透測試人員不太可能以企業(yè)為目標(biāo)掃描安全邊界以查找問題，然后嘗試?yán)闷渲械穆┒催M(jìn)入企業(yè)內(nèi)部。與其相反，會將互聯(lián)網(wǎng)視為目標(biāo)。掃描感興趣的一個(gè)特定漏洞會更容易，而找到100個(gè)存在該漏洞的系統(tǒng)，然后調(diào)查擁有這100個(gè)系統(tǒng)的企業(yè)。換句話說，滲透測試人員不一定要將企業(yè)作為一個(gè)目標(biāo)，而將其作為易受攻擊系統(tǒng)的所有者。

2、可以對企業(yè)的用戶進(jìn)行網(wǎng)絡(luò)釣魚嗎?

當(dāng)然，很多企業(yè)已經(jīng)實(shí)施了防御措施，使攻擊者實(shí)施網(wǎng)絡(luò)釣魚變得更加困難和耗時(shí)。但是域名很便宜，電子郵件也是免費(fèi)的，所以經(jīng)常都會進(jìn)行嘗試。另外，網(wǎng)絡(luò)釣魚是一種無限制重新嘗試的游戲——只需讓一個(gè)用戶點(diǎn)擊一次就有可能成功，而企業(yè)希望其用戶不要點(diǎn)擊。滲透測試人員可以繼續(xù)嘗試借口/有效負(fù)載的不同迭代或轉(zhuǎn)移到另一個(gè)目標(biāo)。如果用戶點(diǎn)擊，那么網(wǎng)絡(luò)釣魚就開始了。

企業(yè)要知道要設(shè)置什么樣的防御措施。需要強(qiáng)大的端點(diǎn)控制，包括EDR和受限權(quán)限。需要電子郵件過濾來檢查郵件屬性，例如源域的歷史和聲譽(yù)。而且，當(dāng)然需要培訓(xùn)進(jìn)行，從企業(yè)高級管理人員到新員工，以確保他們具有電子郵件的安全防范意識。

3、關(guān)鍵備份是否可行并得到良好保護(hù)?

受損的備份基礎(chǔ)設(shè)施通常是勒索軟件攻擊中的致命一擊。如果攻擊者可以訪問企業(yè)的關(guān)鍵備份并刪除或加密其備份文件，那么企業(yè)將失去恢復(fù)業(yè)務(wù)的唯一選擇。這將讓企業(yè)陷入困境。

要維護(hù)故障轉(zhuǎn)移選項(xiàng)，必須保護(hù)備份基礎(chǔ)設(shè)施。多因素身份驗(yàn)證很重要，網(wǎng)絡(luò)分段也很重要。企業(yè)的備份服務(wù)器應(yīng)該位于單獨(dú)的域中，并且其每個(gè)用戶都不能通過網(wǎng)絡(luò)訪問。此外，備份基礎(chǔ)設(shè)施不與其他生產(chǎn)系統(tǒng)共享憑據(jù)也是至關(guān)重要的。

另一個(gè)警告是：企業(yè)的備份系統(tǒng)必須工作。確保負(fù)責(zé)執(zhí)行和測試備份系統(tǒng)的人定期這樣做。當(dāng)企業(yè)遭遇勒索軟件攻擊時(shí)，在可恢復(fù)性方面不能存在問題。

4、可以保持多久不被發(fā)現(xiàn)?

這是滲透測試人員從充當(dāng)勒索軟件攻擊者的過程中學(xué)到的最重要的經(jīng)驗(yàn)之一：攻擊者探索企業(yè)的運(yùn)營環(huán)境的時(shí)間越長，成功的機(jī)會就越大。如果勒索軟件攻擊者侵入一小時(shí)內(nèi)被檢測到并被清除，通常不會有太多機(jī)會發(fā)動(dòng)成功的攻擊。但是，如果有幾天時(shí)間橫向移動(dòng)并破壞其他系統(tǒng)，那么通常會帶來更大的損害。

快速而準(zhǔn)確的威脅檢測對于企業(yè)的反勒索軟件工作至關(guān)重要。企業(yè)需要來自端點(diǎn)、網(wǎng)絡(luò)和云平臺的大量遙測數(shù)據(jù);需要能夠理解遙測數(shù)據(jù)，而不會被警報(bào)疲勞所淹沒;還需要立即發(fā)現(xiàn)和識別活躍威脅，并轉(zhuǎn)化為果斷行動(dòng)以消除威脅。

5、安全團(tuán)隊(duì)成員齊全嗎?

坦率地說，如果滲透測試人員和其團(tuán)隊(duì)攻擊人手不足的安全運(yùn)營中心(SOC)幾乎都會成功。這只是一場數(shù)字游戲，但是已經(jīng)通過滲透測試和紅隊(duì)對抗策略的企業(yè)更難破解。這主要是因?yàn)橐呀?jīng)讓滲透測試人員對他們進(jìn)行了多次攻擊——所以滲透測試人員發(fā)現(xiàn)漏洞，并幫助他們修復(fù)了這些漏洞。

如果企業(yè)并不是容易攻擊的目標(biāo)，大多數(shù)網(wǎng)絡(luò)攻擊者會轉(zhuǎn)移到更易受攻擊的環(huán)境。幾乎所有網(wǎng)絡(luò)攻擊者也是如此。

好消息是，如果能快速減緩攻擊者的速度，他們很可能會攻擊另一個(gè)更容易的目標(biāo)，這可能是企業(yè)最好的防護(hù)。