物理渗透测试中如何与第三方打交道?

信息安全 渗透测试 身体的 第三者
2021-08-17 22:55:38

我之前的问题中,我看到“攻击许可”单在任何渗透测试中都至关重要。但是,该问题及其答案和评论仅讨论了 Pentesters 与客户方(他们的员工)之间的互动。

我们应该如何处理第三方,例如:

  1. “休闲”目标

    • 邻居
    • 第三方人员(真实的电梯维护人员、真实的 CISCO 人员等)
    • 编外人员(公司客户、客人、医院病人等)
  2. 危险的人

    • 当地执法部门(警察)
    • 一个真正可能的罪犯(让红队和真正的罪犯同时闯入听起来很难)

我看到(阅读文章)有人说我们应该始终告诉警察真相,而不是试图对他们进行社会工程。我还听到人们谈论他们自己欺骗当地警察,比如有人值守的保安。也有人说,我们应该事先向当地执法部门出示并确认我们的攻击许可,就像我们向雇主一样。

1个回答

这在很大程度上取决于情况和您的合同。

通常,进行物理渗透测试的知名公司在许多情况下都会为其渗透测试者提供广泛的指导方针。应遵循此类指示。我将粗略概述与此类第三方交互的可能方式:

当地警方

当地警察的待遇与其他地方的警察一样。攻击许可意味着您在法律上被允许进行物理渗透测试,而不是您有权无视警察。如果警察指示您表明自己或类似的身份,您必须效仿。

事实上,您正在进行渗透测试这一事实与任何警察互动都完全无关。根据当地法律与警方互动。

邻居

邻居是与你正在执行的渗透测试无关的人。你不能被授予对他们的任何权力,就像雇佣你进行渗透测试的公司对他们没有权力一样。

这并不意味着如果你碰巧看到他们在街对面做一些园艺工作并看看你从他们那里得到了什么样的信息,你就不能与他们进行友好的交谈。但就你的任务而言,他们与你在街上遇到的普通人没有任何不同。同样,您参与此渗透测试并不会改变任何事情。

第三方人员

这应该包含在您雇主的一般政策中,或在任务合同中指定。一般来说,他们很可能被视为客户的任何“普通”员工。

例如,如果您可以与受雇修理打印机的人一起走进外围,那就更好了。

编外人员

小心踩!尝试对客户、客人、患者等进行社会工程,很快就会成为一个非常困难的主题。这实际上应该事先与客户讨论,并明确写下来。

例如,在医院与患者互动可能会让他们和他们的家人感到不尊重,你想避免这种情况。

应急人员

万一发生地震,渗透测试将是我最不担心的事情。如果应急人员出现在现场,请尽可能帮助他们。你不知道情况,有人可能有生命危险。明天总是可以再次进行渗透测试。

真正的罪犯

立即联系安全或执法部门。不要扮演英雄,只做你的工作。