
危險的滲透測試:當模糊的範圍導致法律糾紛
在網路安全這個高風險領域,滲透測試是堅固防禦的基石。它是一種模擬攻擊,旨在惡意行為者發現漏洞之前將其揭露。然而,一個重複出現的模式正凸顯出這個關鍵流程中的根本性問題:由於範圍定義不明確,甚至沒有書面範圍,滲透測試往往會出錯。這不僅僅是技術上的失誤;它關乎法律糾紛、信任受損,以及最終損害了 CISO 和安全工程師日益面臨的安全態勢。
發生了什麼事
事件模式通常發生在組織委託進行滲透測試時,卻沒有嚴謹記錄的工作範圍 (SOW) 和交戰規則 (RoE)。雖然目的是識別弱點,但缺乏書面授權和明確界限會打開潘多拉的盒子,引發潛在的責任問題。測試人員在假設而非明確指示下操作,可能會無意中針對客戶預期範圍之外的系統或執行操作。
這可能包括測試第三方基礎設施、雲端服務或未明確包含在協議中的供應商系統,以及被認為具有破壞性甚至毀滅性的行為。缺乏一份明確簽署的協議,詳細說明資產、排除項、測試方法和授權操作,會將受控的安全演練轉變為未經授權的入侵。當出現系統中斷或資料損壞等問題時,由此產生的法律和財務後果可能非常嚴重,導致客戶和測試公司就哪些是授權的、哪些不是授權的陷入漫長的爭議。
為什麼這種模式會不斷重複
這個問題的持續存在源於多種因素。通常,由於合規期限或即時安全問題的驅動,會急於啟動測試,導致範圍界定流程簡化或口頭進行。組織也可能低估現代 IT 環境的複雜性,未能考慮到互聯系統、雲端依賴和第三方整合,這些都超出其直接控制範圍,但卻牽涉到測試中。
另一個促成因素是,認為一般的「滲透測試」請求就足夠了,卻不了解有效和安全執行所需的詳細資訊。正如 DeepStrike 所指出的,「範圍界定不良會導致遺漏資產、不安全的測試、法律模糊性、意外成本、薄弱的報告和不明確的補救責任。」這凸顯了初始疏忽所帶來的連鎖負面效應。此外,一些組織可能沒有完全理解漏洞掃描和完整滲透測試之間的區別,後者涉及更具侵略性、可能產生影響的行動。
網路安全中的握手協議是危險的遺物;明確的書面授權是防止範圍蔓延和法律糾紛的唯一可行防禦。
攻擊者的逐步攻略(從範圍不明確的滲透測試人員角度)
從在模糊範圍下操作的滲透測試人員的角度來看,「攻略」通常涉及一系列不斷升級的行動,這些行動雖然旨在徹底,但很快就會導致問題:
- 初始偵察和資產識別: 如果沒有明確定義的資產清單,測試人員可能會使用公開資訊或自動化工具來識別潛在目標。這可能會無意中包含客戶未明確擁有的第三方資產,例如 CDN 或雲端服務。BugBunny.ai 的條款明確禁止測試授權範圍之外的資產,包括第三方基礎設施。
- 邊界探測和枚舉: 測試人員探索已識別的系統,查找開放端口、服務和潛在入口點。如果 RoE 沒有明確劃定內部與外部邊界或特定子網,測試人員可能會過早地進入敏感區域。
- 漏洞利用嘗試: 在識別出漏洞後,測試人員會進行利用以證明影響。如果沒有明確限制破壞性行為或特定的「行動/不行動」區域,嘗試驗證概念驗證 (PoC) 可能會無意中導致拒絕服務或資料損壞,超出客戶的容忍度。
- 橫向移動和權限提升: 在全面的測試中,測試人員旨在獲得更深層次的訪問權限。如果範圍沒有指定可接受的方法或明確排除某些關鍵系統,測試人員可能會無意中影響生產環境或關鍵業務功能。
- 報告和披露: 測試結束,並報告發現結果。然而,如果由於範圍問題導致影響超出預期,報告將成為爭議而非價值的文檔,可能導致因損害賠償而引發法律糾紛。
防禦者錯過了什麼
CISO 和安全工程師作為這種情況下的主要防禦者,經常錯過幾個關鍵要素。首先,一份全面、簽署的《交戰規則》(RoE)文件至關重要,其重要性不容小覷。正如 Secure.com 所強調的,RoE「詳細說明了紅隊被允許做什麼,以及將測試從法律風險轉變為經批准、受保護的演練。」沒有它,測試實際上就是「善意但未經授權的駭客行為」。
其次,他們未能確保範圍足夠具體,以涵蓋其現代基礎設施的細微差別,包括雲端、API 和第三方依賴項。一般的「網路滲透測試」通常會忽略需要明確納入或排除的關鍵領域。DeepStrike 關於不同範圍類型(Web、API、雲端、行動等)的指導強調了這種特異性需求。此外,未能獲得所有目標資產的書面授權,特別是那些由第三方或 MSP 管理的資產,留下了重大的法律漏洞。BugBunny.ai 的條款明確規定,用戶有責任確保合規性並提供書面授權證明。
最後,滲透測試不能自動滿足所有合規義務,並且外部漏洞掃描與滲透測試不同,這一點經常被忽視。例如,PCI DSS v4.0.1 要求 ASV 進行單獨的外部漏洞掃描和年度滲透測試,正如 Secusy 所指出的。混淆這些要求或假設一個涵蓋另一個可能會導致合規問題,更關鍵的是,會產生安全漏洞。
實用的防禦檢查清單
為了防止範圍相關的爭議並確保有效的滲透測試,CISO 和安全工程師應實施以下措施:
- 強制執行書面《交戰規則》(RoE) 和《工作範圍》(SOW): 在任何測試開始之前,確保這兩份文件都全面、經所有各方簽署,並詳細說明目標、資產、排除項、通訊協定和法律簽署。DeepStrike 提倡在測試開始前獲得書面授權。
- 盤點所有資產和依賴項: 建立一份詳盡的清單,列出所有可能涉及測試的系統、應用程式、網路、雲端環境和第三方服務。明確列出哪些在範圍內,同樣重要的是,哪些不在範圍內。
- 定義測試方法和限制: 指定測試類型(例如,黑箱、白箱)、允許的技術(例如,如果未明確授權,則不進行社交工程),以及任何嚴格禁止的行為(例如,不進行拒絕服務攻擊,不進行超出 PoC 驗證的破壞性行為)。BugBunny.ai 的可接受使用政策提供了此類限制的範例。
- 建立清晰的溝通協定: 詳細說明如何升級關鍵發現、誰有權停止測試以及更新頻率。這確保了對意外問題的快速響應。
- 驗證第三方資產的授權: 如果測試涉及任何非貴組織直接擁有或管理的系統(例如,雲端供應商、MSP、CDN),請從這些第三方獲取明確的書面同意進行測試。BugBunny.ai 要求所有目標的授權證明。
- 將範圍與業務和合規目標對齊: 確保範圍直接支援特定目標,例如合規證據(例如,PCI DSS 要求 11.4)、產品發布保證或併購盡職調查。了解合規框架通常對不同類型的測試有特定要求,正如 Secusy 為 PCI DSS 所強調的。
- 考慮測試人員獨立性: 特別是對於 MSP,評估潛在的利益衝突。正如 Safe Harbour Security 指出的,審計師和保險公司越來越嚴格地審查測試獨立性,偏好客觀驗證,而不是由同時管理環境的供應商進行的測試。
現代攻擊性測試如何捕捉到這一點
現代攻擊性測試平台,尤其是那些利用自主能力的平台,旨在透過嚴格的事先定義和持續執行來緩解這些與範圍相關的陷阱。例如,我們的平台強調「測試授權」作為一個基本原則。在任何帶有可執行 PoC 的自主攻擊性測試開始之前,平台都需要詳細、結構化地輸入範圍,這與強大的 RoE 的要素相呼應。
這種結構化方法確保資產清晰定義,明確排除項,並預先配置可接受的行動。平台的自主代理然後嚴格在這些數位護欄內操作,防止意外入侵超出範圍的系統或執行未經授權的技術。如果檢測到嘗試測試未經批准的資產或執行禁止的行動,系統會自動停止,標記潛在的範圍違規,並要求明確重新授權或調整範圍。這種內建的執行機制顯著降低了法律糾紛和意外後果的風險,確保測試既有效又合規。
接下來要關注什麼
不斷演變的監管環境以及審計師和保險公司日益嚴格的審查,將繼續推動對可驗證、客觀的安全測試的需求。組織必須關注更嚴格地執行獨立測試要求,特別是關於 MSP 和雲端環境。英國 NCSC 的指南,正如 Safe Harbour Security 所引用的,已經強調了對沒有監督的供應商主導測試的擔憂。
此外,隨著自主攻擊性安全工具越來越普及,業界將更加重視數位可執行的交戰規則。這將需要從靜態的、人工解釋的文件轉變為可直接整合到測試平台中的可執行範圍定義,確保「測試授權」不僅是法律形式,而且是積極的技術限制。未來不僅需要書面範圍,還需要一個可執行的範圍,以保護測試的完整性和所有相關方的法律地位。


