如何在漏洞评估中保持完整性和客户满意度之间的平衡

信息安全漏洞评估

2021-08-24 14:13:51

我已经进行了许多漏洞评估，并且注意到了一种趋势。在第一次评估中，客户对我发现的大量安全漏洞印象深刻并感激不尽。在第二次和第三次评估期间，他们感到沮丧，因为他们希望获得一份“干净的报告”，以便他们可以塞进他们的营销包中并向潜在客户吹嘘。

尽管他们在缓解问题方面做得很好，但问题是我的工作做得更好，所以我总能找到更多。最重要的是，没有完美的安全性。我相信唯一的“干净的报告”是评估员没有深入挖掘的报告。就漏洞评估的本质而言，我正在与他们作对——但我经营一家企业，我需要找到一种同时与他们合作的方法。

我还为自己在教开发人员如何缓解问题方面提供了非常有用的帮助而感到自豪。现实情况是，理论往往没有转化为实践。开发人员引用了他们管理层的紧迫期限和紧张的预算。我很了解这个行业，这并不难相信。

这让我陷入尴尬的境地。客户害怕和我一起做评估，因为他们觉得他们还没有准备好并且没有足够的补丁。他们（理所当然地害怕）我会发现什么。有些人甚至告诉我“这次不要走得太深，好吗？”。而且因为我不想失去他们的生意，我发现自己抑制了我的全部能力。不用说，这种橡皮图章一点也不好玩。它可能是有利可图的，但并不有趣。

我也担心这会适得其反，因为不可避免地会有其他人重新评估我的所作所为并发现巨大的漏洞。他们会得出结论说我不知道自己在做什么，因为我错过了如此明显的缺陷。声誉就是这个行业的一切，所以这是一个很大的风险。

我能想到的一种解决方案是我不断寻找新客户并远离第二和第三次评估。寻找新客户是我觉得令人沮丧和低效的事情。我喜欢重复业务，多年来我的关系变得更深。这是我在业务中享受的长期关系。亲密关系首先是造成问题的原因。有没有人找到一个替代方案，可以在让客户满意的同时不断暴露无休止的缺陷？还是我只是在做梦？

我尝试的另一个解决方案是限制范围。如果我只测试堆栈的一小部分，客户可以获得他们正在寻找的东西：“干净的报告”。但他们很少同意这一点。他们通常希望一切都经过测试。他们不能吃蛋糕也不能吃，但我很难与他们沟通。

我想我知道我自己的问题的答案。我只是想知道我是否在这里遗漏了一些东西，或者这就是它的方式，我必须处理它。

3个回答

听起来您出于合规性原因进行安全评估，但我没有看到提到compensating controls, acceptable risks,remediation plans in action等。

整个问题对我来说真的很奇怪，因为从您在问题中提供的信息来看，业务关系的任何一方（无论是您还是客户告诉您掩盖事实）似乎都没有资格进行合规性评估. 不想变得苛刻，但有太多的危险信号。我将在下面解释原因。

对于某些事情，客户不会、不能、也不应该为了获得“干净的报告”而被迫修复，但让我们先[Mass Dispel]一些事情。

安全评估

安全评估员的工作是发现漏洞，并帮助解释无法利用的漏洞。某些东西可能很脆弱，但可能有多种原因导致它无法被利用。

然后，您的工作就是检查证据并确定证据是否正确，然后从报告中排除那些不相关的项目。在 PCI 合规的情况下，需要向第三方合格的安全评估员提供这方面的证据。

如果他们聘请您进行解释，您需要深入挖掘您发现的每个漏洞，并尝试评估该漏洞是否可以被利用。与工程师（系统管理员、开发人员、网络工程师）合作以获取您需要的信息。

它可以是简单的东西，例如 nmap/Nessus/等。返回错误的版本，没有意识到存在向后移植的版本，或者与多个 compensating controls常见的 TLS“错误配置”有关。

例如，您可以检查确切的版本dpkg -l | grep 'package'，然后确定是否应用了反向移植的安全补丁。这个问题在许多认可的扫描供应商中很常见。

这些企业无法停止他们正在做的事情，以修复每一个不可利用的小问题。这不是一个可持续的安全模型。他们还应该被告知吗？绝对地。但他们需要确定修复的优先级并管理风险。

干净的报告与欺诈

如果我错了，请纠正我，但听起来他们正在寻找一份没有补救措施的干净报告。这里真的很可疑。这没有意义。

任何有信誉的公司，尤其是那些参与所需合规审计的公司，无论是每季度还是每年，都会修复所有妨碍其合规报告通过分数的漏洞。compensating controls在许多情况下，如果他们可以为、acceptable risks、等提供文档，他们就能够规避修复这些漏洞remediation plan in progress，如果他们的证据正确，您将被要求接受这些规避，但您需要自己检查。

如果他们试图伪造一份并非真正干净的干净报告，那就是欺诈 - 特别是如果他们将这些谎言推给他们的客户。这是最高级别的欺诈，您不想参与其中。您和您的客户都将受到严厉的处罚。

欺诈活动

我在本节中的回答将假设不存在compensating controls, acceptable risks,remediation plans in action等，并且他们试图掩盖漏洞。

他们（理所当然地害怕）我会发现什么。甚至有人告诉我“这次不要走得太深，好吗？”

假设你说的是真的并且没有断章取义，那么我很确定这是非法的——除非你超出了范围。公司应该为您提供一个范围，并且您必须保持在确定的审计范围内。如果您故意超出您定义的范围，如果他们继续雇用您的公司进行评估，我会感到惊讶，因为这是对信任的背叛。

我尝试的另一个解决方案是限制范围。如果我只测试堆栈的一小部分，客户可以获得他们正在寻找的东西：“干净的报告”。但他们很少同意这一点。他们通常希望一切都经过测试。

我遇到了麻烦。几乎每个客户都会提供一个范围，尤其是那些经过合规审计的客户。并非一切都在他们的范围内。如果您因为认为发现危险而想超出范围，则需要征得许可并以书面形式获得。

我也担心这会适得其反，因为不可避免地会有其他人重新评估我的所作所为并发现巨大的漏洞。他们会得出结论说我不知道自己在做什么，因为我错过了如此明显的缺陷。声誉就是这个行业的一切，所以这是一个很大的风险。

如果您在范围内，那么...您想成为欺诈的同谋吗？如果人们要求您不要挖得太深，您会担心会失去客户，但请考虑一下当合格的审计师出现并发现您的公司与欺诈同谋时会发生什么。

这是一种极端的道德违反。如果您有 (ISC)² 认证，那么如果有人发现，请准备撤销。如果您在美国或其他任何欺诈行为非法的地方，这也可能构成联邦犯罪。

相信我，作为与多家渗透测试和安全评估公司打过交道的人，如果你对这样明显的缺陷有所保留，我们中的许多人将不再与你做生意。如果你有这样做的名声，它会很快传播开来。我见过咨询公司因为没有找到我们已经知道的非常基本的东西而被淘汰。

使用补救措施清理报告

但是，公司在修复您已证实的漏洞后提供干净报告的情况并不少见。应该不需要提供包含漏洞的渗透测试和安全评估报告，而只需提供公司修复后的报告即可。

如果你之后发现更多漏洞（只要他们付钱给你这样做），那真的很棒！任何有信誉的公司都会很乐意解决这些问题（或让您或他们自己解释，，，，compensating controls等） acceptable risks，remediation plan in progress以便他们能够通过审核。

如果他们在合规审计过程中雇用你太晚并且担心它不会足够快地完成，那么这是他们而不是你 - 除非你在合理的时间内完成工作太慢.

补救措施在哪里发挥作用？

为部队带来平衡

如何在漏洞评估中保持完整性和客户满意度之间的平衡

在欺诈或其他犯罪的情况下没有平衡。

做好你的工作，把它做好。不要违背任何人的信任，不要进行欺诈。要求您犯罪的客户不是您要寻找的客户类型，或者他们不应该是。

TLDR

获得更多评估和合规审计经验。管理风险，但不要进行欺诈。

我的工作和你类似，我知道这些询问。

您和您的客户必须了解一件事：您识别的风险管理不是您的工作。这是您的客户的工作。正如马克在他出色的回答中指出的那样，您有义务对他们（和您自己）如实告诉他们所提供范围内系统的漏洞。但是您的客户必须决定如何处理这些漏洞。如果他们没有所需的所有信息，他们就无法做出正确的决定。此外，他们可以选择将哪些信息传递给第三方（如果不受法律约束）。

让您的客户清楚您和他们的职责从哪里开始以及在哪里结束。只有当这一点很清楚时，他们才会停止要求“干净”的报告。

就像你说的，如果你“退缩”，我很确定这可能会导致一些法律问题。但我认为最好的办法可能是写下你的谈话要点，然后与他们坐下来充分说明你的情况。然后为他们详细说明可行的安全级别，并可能举一些大公司的例子，以及即使他们没有完全免疫但他们仍然尽力而为。

其它你可能感兴趣的问题

上一篇RFI/LFI 和 SSRF 有什么区别？下一篇STRIDE 和 Mitre ATTACK 的区别