原文：见附件

对于需要满足安全监管要求或需要采用特定安全控制框架的组织来说，渗透测试是非常重要的一个环节。为此，各组织通常会聘请专业的渗透测试供应商完成这项任务，但是，要想找到合适的供应商，则需要进行相应的规划，采用结构化的方法并进行尽职调查。

主要挑战

• 由于渗透测试供应商众多，所以，客户必须根据自身的需求进行比较，从而选出合适的供应商。

• 许多渗透测试活动未能达到客户的目标。由于诸如选择了不适当的供应商、缺乏对如何进行测试的共同理解、测试过程中的缺乏沟通以及最终交付的测试结果超出测试范围等原因，将会导致测试效果无法达到客户的预期，从而使得他们感到非常沮丧。

我们的建议

公司的信息安全官和管理者应该谨慎选择渗透测试供应商：

• 除了测试的目标、范围、要求和边界之外，还要提前了解您需要哪种类型的渗透测试。

• 采取结构化的方法，包括请求提案（RFP）、比较、审核和选择供应商。

• 通过面试供应商和征求同行反馈等方式进行尽职调查。

• 将分析重点放在执行测试的顾问的身上，而不是供应商的声誉上。

关于渗透测试

渗透测试是公司信息安全控制的重要组成部分。对于某些公司来说，这些测试必须符合PCI数据安全标准（DSS）的相关要求。而其他组织可能需要进行渗透测试以满足特定的信息安全管理标准，例如国家标准与技术研究院（NIST）和互联网安全中心（CIS）的相关标准。

渗透测试涉及大量的活动和结果，这些测试活动可能涉及访问方法、网络上的设备或应用程序。此外，有时候这个过程甚至涵盖整个组织，具体取决于测试的范围和目标（例如，是否涉及物理和社会工程测试）。网络渗透测试是最常见的一种渗透测试类型。

Gartner公司所指的渗透测试，不仅包含漏洞扫描，同时还包括使用多个步骤和多重攻击的方案，首先查找漏洞，然后尝试利用这些漏洞渗透进企业的基础架构。对于任何一次渗透测试，要想成功，必须要有明确的范围和目标。一旦这些范围和目标被确定下来并记录在案，负责安全工作的公司领导及其团队就能够很好地辨别和选择合适的渗透测试供应商。

分析

由于提供这些服务的公司数量巨大，因此，选择渗透测试供应商可能是一项艰巨的挑战。如果在Google中搜索关键词“渗透测试”的话，能找到数百家服务提供商，当然，这些服务商在许多方面都存在差异，例如组织（和员工）的规模、地理位置、经验和声誉等。

供应商的规模存在天壤之别——从国际大型咨询公司到区域安全服务提供商，再到个体渗透工作人员。此外，顾问的经验也存在明显的差异，例如有的顾问是身经百战的退伍军人，而有的则是初出茅庐的毛头小子。需要注意的是，在渗透测试方面，供应商的规模大或知名度高并不意味着效果就一定好。

在选择适合组织的供应商及其测试范围和目标的时候，信息安全官和管理者可以借助下面介绍的标准化方法来克服各种挑战。

确定测试需求和测试边界

在开始选择供应商的过程之前，请参阅Gartner公司的“Understand the Types, Scope and Objectives of Penetration Testing”指南。

一旦渗透测试的目标和范围得到了安全团队和关键利益相关方的同意和记录，就需要定义、审核和记录下相关的测试需求和边界。这些参考资料能够为测试供应商实现测试的目标给出明确的方向。

其中，有些需求是从测试范围和目标中自然延伸出来的，而另一些需求则来自利益相关方，特别是IT基础设施和业务应用程序所有者。此外，IT部门之外的业务负责人也需要就其对运营风险的容忍程度提供意见，这与测试的范围和目标密切相关。

在确定测试需求和边界时，需要回答的类似如下的问题（请注意，这些问题中有些问题存在重叠，因此，请将其视为一个整体）：

• 哪些类型的资产（设备、主机、应用程序）是明确禁止进行测试的？它们是永久禁止的，还是只在某些日子或某些时间内是禁止的？ 根据测试类型，禁止测试的资产通常会有所不同。轻量级和有针对性的测试（“白盒”和“灰盒”测试）通常会指定禁用资产，而标准渗透测试（“黑盒”测试）则很少这样。例如：如果您的部门依赖某些服务器和应用程序来完成其年终活动，那么，请将这些服务器和应用程序（包括其IP地址和主机名）记录下来，并将相应的清单提供给所选的渗透测试供应商，并明确指出哪些服务器和主机在哪些时间段内是禁止访问的。
• 是否存在经营日期限制？ 例如，如果要进行标准渗透测试，是否希望只在工作日和相应时间段内进行，以便在漏洞导致应用程序或服务器崩溃的情况下，IT人员可以及时恢复正常运行？
• 根据渗透测试的类型，当测试人员使用真实世界的漏洞时，您的组织愿意接受多大的风险？ 如果要进行标准渗透测试，您的组织能否接受通过真实的漏洞利用代码来实现测试目标吗？
• 供应商是否具有为特定应用程序创建定制漏洞利用程序的技能？当然，使用自定义的恶意软件还是一个有争议的做法。这与所进行的测试类型有关，请一定把这些问题弄清楚。
• 是要求渗透测试人员在公司内完成测试，或者远程工作是否可以接受？ 通常，测试类型决定了测试人员的工作位置。针对特定系统或应用程序的渗透测试可能需对公司的内部网络具有完全的访问权限，而对发生在组织网络外围之外的攻击的模拟，则没有这种要求。
• 测试人员希望使用哪些环境——例如，仅使用测试环境或开发环境，或者所有环境（包括生产环境）？
• 是否需要为测试人员提供网络访问权限（这取决于测试的类型。）？测试过程需要哪些网段的访问权限？ 测试过程中如何授予和监控网络权限，以及在完成测试后如果撤销访问权限？
• 升级计划是什么？依靠电子邮件和会议进行沟通并不适合所有情况——您需要详细的升级计划。双方都必须达成“无假设”的政策。例如，如果一个系统失去响应，那么说明发现了一个严重漏洞，或者有证据表明系统存在缺陷，沟通必须是及时而且清晰的（例如，发生了什么，找到的是什么问题，问题的严重程度，缺陷是否可以利用以及来自何处，以及哪些人为因素表明存在缺陷）。
• 你愿意赋予渗透测试提供商多大程度的自主性？了解这一点至关重要。

您允许他们使用社交工程技术（例如，钓鱼电子邮件和电话）吗？您会授予供应商物理访问权限以实现测试目标吗？要知道，赋予供应商的自主权越高，风险就越大，但结果会更准确。在确定渗透测试范围的过程中，尽早咨询企业领导者也很重要。您应该告诉他们，在测试过程中，赋予测试人员的自主权会对他们产生哪些影响，例如，应用程序崩溃。这主要与标准渗透测试有关。

确定渗透测试供应商候选名单

一旦您已经以文件形式确定好了自身的测试需求和边界，接下来要做的就是确定渗透测试供应商的候选名单。如上所述，供应商的规模差别巨大，从单个顾问到全球咨询公司不等。

当我们编制候选测试供应商清单的时候，可以参考表1中给出的信息源。

表1 渗透测试供应商的信息来源

信息来源：Gartner（2016年2月）

发出请求提案

建好供应商名单后，就可以通过发送请求提案来收集相应的提案了。

在请求提案的开头部分要给出测试的目标、范围和边界是非常重要的。同样重要的是，要为供应商提供足够的细节，帮助他们判断自身是否能够实现您的目标，并在相应的范围内完成测试。许多咨询人员和公司可能会根据这些因素来判断是否参与投标。例如，一些公司只想参与通过远程方式进行的标准渗透测试。

即使有多家供应商都未能完成请求提案，那也无需感到惊讶。如果该测试未达到或超过最低他们的最低支付水平，或者与更大的专业服务项目无关，某些大型公司可能不会接受提议。此外，一些规模较小的供应商和个人顾问仅参与远程标准渗透测试，并且只对那些限制较少的项目感兴趣。

您的目标是发出请求提案，以尽可能地对供应商的优势和劣势进行一致的比较。虽然需要为供应商提供一些解释自身差异性的回旋余地，但务必以能够引出清晰答案的方式来提出问题，以避免“分析（和决策）瘫痪”。

您的请求提案应包含四个核心部分，具体如下所示：

1. 客户的详细信息、相关背景信息、测试项目的驱动因素以及渗透测试的范围和目标
2. 测试的要求和边界
3. 与供应商相关的问题
4. 标准的RFP征询信息和问题，包括RFP回复的格式，联系方式，商业细节，客户推荐信息和回复截止日期

第一部分应包括有关客户的简要背景信息以及预期测试项目的驱动因素。

第二部分应包括对测试项目的目标和范围的描述。一旦规定了目标和范围，就应该指出该测试项目的界限。接下来，还要提供特定需求的编号列表，例如远程测试与现场测试以及测试操作的小时数。清楚地记录通讯方式。确定合同的预期完成日期也很重要，测试人员应该提交最终报告和建议。即使攻击者拥有几乎无限的时间，渗透测试也必须限时完成。然而，这并不意味着不必进行定期测试或重新测试。

以商定的频率重新验证结果——例如，每年——或者当环境发生重大变化时（例如当公司收购了含有新网站的公司并将连接到公司的主干网络时），都需要重新进行渗透测试。如果测试合同中包括重新测试，则需要明确说明所需的额外测试次数以及它们的决策和授权标准。

第三部分应包括用于确定供应商测试能力的问题和要求，并使其更易于比较。下面我们给出了推荐的问题和要求。（提供RFP的组织或团队的注释以“注意”为标题；它们提供了对问题或请求的额外解释。我们还建议将三到五个问题集中到人员、方法和产出上面，并在内部将其标注为“critical”问题——在比较和选择阶段，这些问题的答案将起到决定性的作用。）

• 您将哪家供应商签署测试合约？相应的渗透测试人员的技能、经验和资格如何？渗透测试人员的平均从业时间是多少？当然，如果有遗漏的问题，欢迎大家继续补充。

• 注意：有针对性的渗透测试和标准渗透测试主要由测试人员的属性所驱动得，而不是由他们使用的工具和方法所驱动的。所以，在考场供应商的差异性的时候，员工的能力是非常重要的一个方面。供应商应该能够深入理解您的测试要求（否则，他们应该问清楚），并知道将这些测试工作指派给哪些渗透测试人员。在寻找合适的测试人员的时候，一方面可以寻找那些具有多年经验的人，或者，已经通过某些认证的人员，这些认证包括GIAC（GIAC认证渗透测试工程师[GPEN]，GIAC 认证Web应用渗透测工程师[GWAPT]，GIAC认证漏洞利用研究员和高级渗透测试工程师[GXPN] ）、EC-Council（特许渗透测试工程师[LPT]，认证道德黑客[CEH]），CREST（CREST认证模拟攻击专家[CC-SAS]、CREST认证模拟攻击管理员[CC SAM]）和Offensive Security（Offensive Security认证专家[OSCP]）。对于标准渗透测试活动来说，不妨花费几分钟时间进行在线搜索，看看供应商的员工是否是信息安全社区的活跃成员（例如，他们是否在会议或博客中介绍他们的研究）。

如果供应商当前无法确定参与本项目的人员，请务必在您签署任何协议之前，向提供商索取最终的员工名单，并要求允许随时替换相关人员。

• 您如何审查员工？你打算使用国外资源吗？
• 注意：供应商应定期对参与渗透测试的人员进行背景调查。然而，这些调查的性质和合规性因国家而异，因为不同的国家相关的法律不尽相同。如果打算使用本国家/地区以外的资源的话，应考虑这样做是否会对您的组织造成任何政策合规性或责任问题。
• 您是否对所有测试都采用标准方法？
• 注意：渗透测试的结构化方法的一个例子是渗透测试执行标准（PTES），该标准定义了渗透测试过程的七个阶段：测试前的工作，情报收集，威胁建模，漏洞分析，漏洞利用，测试后期工作和测试报告。另一个例子是开源安全测试方法手册（OSSTMM）。
• 您公司将采用什么工具？使用商业漏洞和渗透测试工具、开源工具还是这些工具的组合？是否依靠任何专有工具，如果是的话，依赖程度如何？
• 通常需要进行多少手动测试（自动化测试不包括在内）？
• 注意：初始测试通常使用自动化工具来映射网络并收集有关潜在目标的详细信息，但对于优秀的供应商来说，通常会根据测试的范围和边界进行更多的手动测试。手动测试的数量可能会影响测试过程的持续时间和成本，因此了解手动和自动测试的相对比例可以帮助解释供应商之间的成本差异。
• 描述您的经验，并提供之前的测试项目样本（当然，最好涵盖类似的目标）。
• 描述您在类似规模的组织和IT环境中的工作经验。
• 测试报告是由渗透测试人员自己撰写还是由专门的作者撰写？使用标准模板还是每次测试所特有的报表格式？报告是否包含执行综合报告、测试结果的详细技术说明、漏洞修复指导，以及所使用的方法和工具以及进行的测试的详细清单？测试结果是基于风险进行总结吗？另外，请提供类似项目的报告样本。
• 注意：要求供应商提供真实的报告（如有必要，可以对细节进行相应的处理），这一点至关重要。最终的测试报告就是您收到的成品——它用于决定测试过程是否达到目标
• 您将如何管理合约？如何在项目期间向客户传达状态更新和结果？
• 注意：将渗透测试过程作为一个项目来管理是非常重要的。在项目期间定期举行会议，以解决问题或紧急情况，并每周举行例会以评估进展情况，这将有助于取得成功。
• 签署保密协议吗？如何安全地存储客户数据以防止未经授权的披露？原始数据和报告的保留期限是多久？
• 注意：供应商会收集您组织IT资产的相关信息，特别是主机、安全设备、网络和应用程序等资产。更重要的是，它会记录相关的安全漏洞和弱点。最重要的是，这会同意保留所有的信息，因此，我们要确保供应商有适当的流程和工具来保护自己组织的信息，并且在特定的时间段之后销毁这些信息。测试供应商必须能够为其客户提供这种保护。
• 责任保险是否涵盖了预期的测试范围内的全部资产？
• 提供两到三个完成过具有类似范围和目标的项目的推荐人客户。
• 注意：提供推荐的客户不一定是可以与您交谈的正式推荐人客户，但他们的推荐能使您确信供应商已为规模相似、同行业或类似行业的客户提供过相关的测试。如果您可以与提供推荐的客户进行交谈，请务必珍惜该机会。
• 该项目的预计费用是多少？你是按照项目收费还是按小时收费？如果项目的执行时间超过预期，变更单是如何处理的，额外的时间的小时费率是多少？

本流程的最后一部分，是将请求提案和标准采购担保一起发送到一个潜在供应商管理池中——池子中的供应商不必太多，也不能太少，足以分析请求提案的响应是否可行即可。要知道，即使在选择了一个供应商之后，一些组织仍然根据自己的优势和专长（例如Web应用程序测试和攻击模拟）保留一个含有其他供应商的管理池。根据测试类型的不同，如果其主要供应商无法在所需的时间范围内完成测试，或为了获得不同的观点，他们可能会采用其他供应商所提供的服务。

分析请求提案响应并选择供应商

下一阶段是分析供应商对请求提案的回应。这里需要重点关注的，是他们对第一批关键问题的回答。然后，再考察他们对其他问题的回应，因为这些可以为关键答案增添相应的背景知识。

审阅示例报告和附加材料。问问自己，哪些供应商提供的是“一稿数用的”报告，哪些供应商的报告是专门针对提供给自己的项目的。报告的内容是否足够详细？提供的信息是否有用？是否详细到能够为漏洞修复工作制定优先顺序？ 哪些供应商愿意按照您的要求并在指定的边界内完成测试任务？

为了最终确定合适的供应商，可能还需要采取其他措施，例如与重要人物以及将分配给本项目的测试人员会面。询问测试人员的个人技能以及他们已完成的类似项目的情况。考虑自己是否能够与测试团队和测试人员保持关系融洽。您认为自己能够胜任吗？您是否相信他们能够在测试期间对相关问题进行充分深入的交流吗？

在比较价格时，要特别注意分配给评估、项目管理和报告生成的天数。分配给这些活动的天数之间的差异，通常能够很好地解释供应商的价格为何差异巨大。如果供应商提供的项目完成时间差别很大的话，请与他们仔细讨论该问题。了解花费在评估上的时间是至关重要的——如果花费在测试上面的时间明显较短的话，很可能意味着测试得不够全面。

Gartner推荐的阅读材料

下面给出我们推荐读者阅读的相关文档：

"Understand the Types, Scope and Objectives of Penetration Testing"
"Translating 'Consultantspeak,' the Taxonomy of Security Consulting Services"
"Market Guide for Security Consulting Services, Worldwide"
"Ensuring a Successful PCI DSS Assessment"