渗透测试或红队演习的主要目标是确定实际的风险,从扫描结果中提取风险等级,并为企业识别每个资产的风险值,以及可能对企业品牌形象造成的风险。这不是风险有多大的问题,而是暴露了多少风险,以及风险被利用究竟有多容易的问题。
已经发现的威胁并不真正构成风险,也不需要去刻意证明。例如,跨站脚本(XSS)攻击是一个脚本注入漏洞,可以窃取用户的凭据。如果某个贸易公司有一个向客户提供静态内容的边缘站点,尽管此站点容易受到XSS攻击,但它可能不会对业务产生重大影响。在这种情况下,客户可能会选择接受风险,并使用Web应用防火墙(WAF)制定缓解计划来防止XSS攻击。但是,如果在公司的主要交易网站上发现了相同的漏洞,那么这将是一个需要尽快纠正的重大问题,因为很可能面临攻击者窃取其用户凭据而失去客户信任的风险。
基于目标的渗透测试是基于时间的,具体取决于企业面临的特定问题。一个例子是:我们最担心的是数据被盗以及由于违规行为而招致的监管罚款。因此,现在的目标是利用系统缺陷或通过网络钓鱼操纵员工来损害数据,有时甚至会看到部分数据已经在暗网上泄露或出售,这更是一个“惊喜”。每个目标都有自己的策略、技术和程序(TTP),这些TTP将支撑渗透测试活动的主要目标。我们将在本书中使用Kali Linux 2021.4版本探索这些不同的方法。