對于專業的滲透測試人員，人們通常稱之為道德黑客、白帽黑客或紅隊隊員。滲透測試人員有時也背負罵名——因為花費時間采用大量勒索軟件攻擊很多企業。

滲透測試人員的工作是幫助企業加強網絡安全防護以確保業務安全。滲透測試人員充當了勒索軟件攻擊者，根據他們的經驗，企業應該提出以下五個問題：

1、可以突破安全邊界嗎?

如今，有很多方法能夠突破企業的安全邊界?？梢栽谄髽I的一個Web應用程序中查找SQL注入漏洞。滲透測試人員可以嘗試猜測企業的VPN憑據，或者查找企業的防火墻配置中的錯誤，以便訪問敏感服務或應用程序。

作為勒索軟件攻擊者，滲透測試人員不太可能以企業為目標掃描安全邊界以查找問題，然后嘗試利用其中的漏洞進入企業內部。與其相反，會將互聯網視為目標。掃描感興趣的一個特定漏洞會更容易，而找到100個存在該漏洞的系統，然后調查擁有這100個系統的企業。換句話說，滲透測試人員不一定要將企業作為一個目標，而將其作為易受攻擊系統的所有者。

2、可以對企業的用戶進行網絡釣魚嗎?

當然，很多企業已經實施了防御措施，使攻擊者實施網絡釣魚變得更加困難和耗時。但是域名很便宜，電子郵件也是免費的，所以經常都會進行嘗試。另外，網絡釣魚是一種無限制重新嘗試的游戲——只需讓一個用戶點擊一次就有可能成功，而企業希望其用戶不要點擊。滲透測試人員可以繼續嘗試借口/有效負載的不同迭代或轉移到另一個目標。如果用戶點擊，那么網絡釣魚就開始了。

企業要知道要設置什么樣的防御措施。需要強大的端點控制，包括EDR和受限權限。需要電子郵件過濾來檢查郵件屬性，例如源域的歷史和聲譽。而且，當然需要培訓進行，從企業高級管理人員到新員工，以確保他們具有電子郵件的安全防范意識。

3、關鍵備份是否可行并得到良好保護?

受損的備份基礎設施通常是勒索軟件攻擊中的致命一擊。如果攻擊者可以訪問企業的關鍵備份并刪除或加密其備份文件，那么企業將失去恢復業務的唯一選擇。這將讓企業陷入困境。

要維護故障轉移選項，必須保護備份基礎設施。多因素身份驗證很重要，網絡分段也很重要。企業的備份服務器應該位于單獨的域中，并且其每個用戶都不能通過網絡訪問。此外，備份基礎設施不與其他生產系統共享憑據也是至關重要的。

另一個警告是：企業的備份系統必須工作。確保負責執行和測試備份系統的人定期這樣做。當企業遭遇勒索軟件攻擊時，在可恢復性方面不能存在問題。

4、可以保持多久不被發現?

這是滲透測試人員從充當勒索軟件攻擊者的過程中學到的最重要的經驗之一：攻擊者探索企業的運營環境的時間越長，成功的機會就越大。如果勒索軟件攻擊者侵入一小時內被檢測到并被清除，通常不會有太多機會發動成功的攻擊。但是，如果有幾天時間橫向移動并破壞其他系統，那么通常會帶來更大的損害。

快速而準確的威脅檢測對于企業的反勒索軟件工作至關重要。企業需要來自端點、網絡和云平臺的大量遙測數據;需要能夠理解遙測數據，而不會被警報疲勞所淹沒;還需要立即發現和識別活躍威脅，并轉化為果斷行動以消除威脅。

5、安全團隊成員齊全嗎?

坦率地說，如果滲透測試人員和其團隊攻擊人手不足的安全運營中心(SOC)幾乎都會成功。這只是一場數字游戲，但是已經通過滲透測試和紅隊對抗策略的企業更難破解。這主要是因為已經讓滲透測試人員對他們進行了多次攻擊——所以滲透測試人員發現漏洞，并幫助他們修復了這些漏洞。

如果企業并不是容易攻擊的目標，大多數網絡攻擊者會轉移到更易受攻擊的環境。幾乎所有網絡攻擊者也是如此。

好消息是，如果能快速減緩攻擊者的速度，他們很可能會攻擊另一個更容易的目標，這可能是企業最好的防護。