随着2023年实战攻防演练的临近，许多企事业单位已经进入了积极备战期，对自身的资产暴露面和风险隐患进行排查，开展漏洞扫描和渗透测试成为备战期的重点工作。

但如何安全可控地开展渗透测试工作却困扰着许多企事业单位的安全负责人。对于政企单位而言，渗透测试服务实施存在高风险，作为项目发起方如何对渗透测试服务进行监管，以保障测试安全？安全厂商在实施渗透测试过程中，如何保障参测人员身份可信？如何评判参测人员的技术水平、全面了解他们的项目参与情况？在渗透测试服务过程中，一旦发生因人为因素而造成安全事故，如何快速响应，将危害降至最低，后续又该如何追责？如何保障在渗透测试中发现的安全隐患全部上交？带着这一系列问题，我们对当前行业渗透测试服务的现状及网御渗透测试管控平台的相关实践进行分享。

测试人员行为“黑箱”

已成为渗透测试中长期存在的痛点问题

随着互联网安全风险与日剧增，安全问题复杂性日益加大。防火墙、入侵检测等传统网络安全手段，虽然能够实现对网络异常行为的管理和监测，但是这些传统设备均不能对已授权的正常内部网络访问行为进行监控。

传统安全测试模式下，在实施渗透测试任务中或者事后，一旦发生安全事件，往往很难对安全事件原因进行定位、溯源和追责。测试人员行为管控和监管缺失，导致测试人员行为“不可见、不可查、不可控、不可审计、不可溯源”的问题，已成为当前行业中面临的一大挑战。

在当前渗透测试服务市场中，虽然测试人员大都来自于各大主流安全服务厂商，但考虑到网络安全领域的特殊性，往往测试人员项目经验的不同，导致个体技术水平和素养存在一定的差距。在整个服务项目过程中，个别人员“浑水摸鱼”也并不少见。这就导致渗透测试服务的效果不及预期，与甲方期望不匹配。

因此，随着线上安全测试需求的剧增，为了帮助企事业用户解决安全管控中存在的管理不可见、不可控、人为风险高等问题，帮助用户将渗透测试服务过程中人员身份的风险、工具的风险、行为的风险等全部纳入管控，网御星云渗透测试管控平台”应运而生。

对人员身份、测试行为全面管控

保障全过程“可见、可控、可审计、可溯源”

在看到当下行业中安全管控方面的痛点后，网御星云将一整套打磨成熟的安全服务经验精细化、标准化，最终打造出专用于网络安全渗透测试场景的“渗透测试管控平台”，帮助企事业用户实现对渗透测试人员、渗透测试行为的集中管理、控制以及安全审计。

平台从渗透测试任务准备阶段开始，即对渗透测试人员、渗透测试行为展开全面管控，提供完整的管控能力，通过多项能力的互联互通，实现对渗透测试全流程“可见、可控、可审计、可溯源”的安全审计管控，为安全测试工作的组织和管理提供强力保障。其中包括：

● 三大留痕能力：接入身份留痕、测试流量留痕、终端行为留痕。

● 三大接入能力：VPN安全接入、虚拟终端接入、物理终端接入。

● 三大告警能力：异常流量告警、违规行为告警、高危操作告警。

● 三大阻断能力：异常流量阻断、违规行为阻断、高危操作阻断。

● 两大实时管理能力：终端实时操作录屏管理、威胁流量实时管理。

● 两大取证溯源能力：终端历史录屏、历史操作、历史会话取证、网络全流量溯源取证。

简而言之，该平台在渗透测试项目接入阶段，即要求所有测试人员通过平台安全接入到客户现场，以保证测试过程中的安全可控，同时也对测试人员的全部操作以录屏的方式进行记录和留存。以保证用户对测试过程全程可感知，结果可预见。即使在项目结束后发生安全事件争议，也能够使用平台留存数据进行全面复盘及时止损，保证事后溯源取证过程有理有据。

在使用渗透测试管控平台开展渗透测试服务的场景下，平台首先会对测试人员进行安全策略方面的限制，进而确保测试人员的操作合法合规，保证所有的操作可感知和可预见。此外，测试人员在测试过程中可以使用测试终端接入平台，开展测试工作。测试结果也必须通过平台以实时在线提交，在平台的安全限制策略下，任何业务数据和敏感数据都无法下载到测试终端，保证了测试人员与敏感数据之间的相对隔离。

此外，依托行业领先的流量检测技术，网御星云“渗透测试管控平台”的流量检测引擎具备强大的双向流量检测技术和会话跟踪能力，同时预置安全研究团队精心提炼并经市场长时间考验的高质量攻击特征库，能够精准识别和发现各种网络攻击行为，实时阻断渗透测试服务过程中的攻击事件。

探索打造可视化渗透测试服务行业标准

构建甲方与测试人员的信任的桥梁

传统的渗透测试服务就像是“蒙眼猜物”游戏，虽然在游戏开始前，游戏裁判会明确告知大家游戏道具的安全性，但当蒙上眼睛将手伸入黑箱中去触摸时，不安感仍然会油然而生，而不安的来源就是人在面对未知事物时所产生恐惧心理。

将这一心理映射到渗透测试服务中，项目发起方在面对未知的人员、未知的操作时，即使安全厂商承诺不会产生风险，但面对这样一个未知的黑箱，不安感仍然会产生并持续存在。正是因为甲方对整个渗透测试服务的过程不可感知、不可预见，才导致当前市场中出现了一些安全服务乱象。

未来，网御星云希望持续将每一次安全服务的过程标准化、规范化和透明化，最终打造了一套适用于全行业的渗透测试服务行业标准，并持续向行业推广自身的渗透测试服务标准和安全管控平台，真正建立起甲方与安全服务人员之间的信任桥梁。