rules-of-engagement
渗透测试参与规则
ROE 是一份文件,概述了您在整个合作过程中可以做什么和不能做什么,并由您和客户签署并同意。它还定义了双方成员的“角色和责任”。
部分:
以下部分列表可能出现在交战规则文件中,也可能不出现。每家公司都有不同的股本回报率计算方式,尽管有些部分绝对应该包括在内,例如范围、披露和接受。
根据客户的评估要求,每次参与的 ROE 也会有所不同。
目标
概述交战规则文件意图的一般简介。这里可能出现的一句话可能是:
本文件的目的是概述和明确定义各方的角色和责任,以及商定的评估细节。
适用性
描述该文档具体适用的内容,即该文档可能适用于渗透测试方向客户提供的“评估中涉及的所有要素”。这还包括客户组织的相关联系人
角色和职责
本节概述了参与评估的所有各方的角色和责任。这里概述的一些常见角色示例如下:
渗透测试团队
本节应包括参与渗透测试团队的所有成员包括来自客户的将参与的团队成员。
客户
本节将概述客户的责任。责任的一些例子可能包括:
- 观察并记录进攻团队成员(您)的入侵尝试
- 防止执法部门介入
- 确保参与保密/不向员工宣布
本节还可以为客户团队成员定义特定角色,例如:
客户联络点 (CPOC)
负责与渗透测试团队进行协调,并且应该能够验证可疑活动并将其与现实世界中巧合的黑客尝试区分开来。如果需要的话还应该能够重新安排活动。
CPOC 将与渗透测试 POC(渗透测试团队的联系人)保持联系,以确保整个参与过程中的清晰、持续的沟通。
- CPOC名称:假名
- CPOC 电子邮件:fake.email@customer.com
渗透测试团队
与客户部分一样,此部分将包括组成攻击/评估团队的所有团队成员,并概述他们的角色和职责。本节可能包括有关每个团队成员在保密协议下的覆盖范围的简介。这里的一些职责示例可能是:
- 记录所有渗透测试活动
- 记录成功和失败
#####渗透测试团队的POC
本节将讨论渗透测试团队POC的职责。这些职责可能包括:
- 协调客户和渗透测试团队的黑白关系
- 安排渗透测试活动,包括取消和重新安排
- 向 CPOC 提供他们的联系信息
- 等
交战规则
本节将更加具体,包括活动的日期和时间、范围、披露等。一些可能的小节包括:
评估时间和日期
可能包括禁止的时间/日期(例如下班后/周末)
####公告
介绍客户如何向其他员工宣布或不宣布测试的简介。还可能包括描述笔团队在测试期间发现先前/恶意受损的资产时应采取的措施。
披露者
关于客户端是否已从测试中排除特定资产(例如 IP 地址和主机名)的简介。
状态更新
何时以及多久就业务的总体状态进行定期沟通,
测试方法细节
ROE 应包括特定于测试的部分,例如正在进行什么类型的渗透测试等。以下是一些示例部分:
外部渗透测试(或任何类型)
关于客户端外部网络的范围内或范围外的内容。这可能包括 IP 地址、域、CIDR 等。
恶意软件模拟测试
概述将对哪些系统进行恶意软件检测和响应测试。还应包括在交战期间使用的“特定”工具,例如:Meterpreter、Cobalt Strike 等。
本节还可能包括有关客户在检测到恶意软件活动时与团队进行沟通的责任的简介,以便两个团队都可以确认这一发现。
保持访问
描述团队可以在参与期间使用某些技术来保持对网络的访问的简介。
测试范围
重申“评估豁免”中包含的所有 IP 地址/其他资产都将被扫描是否存在漏洞。还应包括在参与期间“巧合”发现但未在弃权书中概述的资产会发生什么情况(可能它们不会包含在扫描/测试中,但指出它们是被发现的)。
超出范围
超出评估范围的物品/资产清单。这包括 IP 地址、主机名等以及社会工程、DDoS 等技术。
停止点
关于约会的确切停止点(时间和日期)的简介。
项目结束
与停止点不同。该时间和日期是指双方的整个关系结束的时间,即约定已经完成,笔团队已经交付了他们的调查结果并向客户汇报。
尸检
描述笔团队向客户提供事后分析的责任。事后分析应向客户报告并解释所有攻击及其调查结果。
免责声明
本节描述客户同意的“责任假设和限制”。例如,此部分可能包含如下列表:
客户同意以下约定所需的假设和责任限制:
- 渗透测试团队可以使用商业或通用工具来执行测试
- 客户了解渗透测试团队采取的行动反映或模拟现实世界的恶意黑客活动
- 客户了解其中一些活动可能会妨碍系统性能、使生产系统崩溃并允许未经批准的访问
- 客户了解渗透测试团队采取的行动可能涉及双方“未知”或不可预见的风险
验收
这一部分可能是最后的简介,基本上指出,通过签署文件,下面的签名者断言他们被授权代表客户签订协议/弃权书。
本节还授予笔测试团队按照文件所述进行测试的权限,并声明客户接受其中规定的所有条款。
**注意:*如果本文件未签署测试不应开始且无法开始*(您可能会被起诉)。
[!资源]