2022FedRAMP渗透率测试指导手册.docx

《2022FedRAMP渗透率测试指导手册.docx》由会员分享，可在线阅读，更多相关《2022FedRAMP渗透率测试指导手册.docx（23页珍藏版）》请在优知文库上搜索。

1、FedRAMP渗透率测试指导手册2022年6月30日文件修订历史日期版本页码描述作者2015年6月3Q日1.0全部首次发布FedRAMP项目办公室2015年7月6日1.0.1全部小幅更正和编辑FedRAMP项目办公室2017/06/061.0.1覆盖更新的FedRAMP徽标FedRAMP项目办公室2017年11月24日2.0全部更新到新模板FedRAMP项目办公室2022年6月30日3.0全部更新以反映当前最佳状态渗透测试实践FedRAMP项目办公室对于FedRAMP机构ATo这可霜懿机构指定的任何评估组织到.谁应该使用本文档？以下人员应审阅本文档：-云服务提供商(CSP)准备执行渗透测试时在

2、他们的云系统上第三方评估组织(3PAO)在规划执行和估时FedRAMP渗透测试活动报告-Ao制定和评估渗透测试计划本文档的结构本文档分为以下主要部分和附录：表1:如脚分表部分内容第1节测试范围第2节威胁第三节攻击向as第4节确定渗透测试的范围第5节参与规则第6节报告第7条测试日程要求第8条第三方评估组织(3PA0)人员配备要求附录AFedRAMP缩写词附录B定义附录C参考附录D交战规则(RoE)&IJ试计划模板目录关于本文档1谁应该使用本文档？2如何联系我们2本文档的结构2表吩三21.0测试范围1表2:司蜀送12.1 威胁22.1. 威胁模型22.2. 攻击模型32.2 攻击向星53.1 强制

3、攻击向量51.1.1 击媒介1:企!畋郦51.1.2 攻击媒介2CSP目标系蜕外部71.1.3 攻击媒介3:租国OCSP管理系统81.1.4 攻击向量4:租户阴胪91.1.5 ,攻击5座5:目榻娥帆I硼翻l1.1.6 攻击媒介6:目标系维唐户端应制的0/或代理14.0确定渗透测试的范围105.0交战规则U6.0报告126.L目标系统的范围1362期间评估的攻击向量渗透测试1363评估活动时间表136.4.实际执行的测试和结果1365调查结果和证据136.6访问路径147.0。测试时间表要求148.0。第三方评估组织(3PAO)人员配备要求14附录AFedRAMP缩写词15附录B;定义15附录C

4、:参考文献16附录D:参砌则/测试计划模板16交战规则戊IJ试计划16系统范围Oji假设和限制测试时间表】7*测试方法18相关人员18事件响应程序18证据处理程序181.0。溅靛H联邦风险和授权管理计划（FedRAMP）要求按照以下指南进行渗透测试：-NISTSP800-115（当前修订售息安全测试技术指南t三-NlSTSP800-145（当前修订版）NIST云计算的定义-NISTSP800-53（当前修订版售息系统和隐私的安全和隐私控制组-NISTSP800-53A（当前修订版评估联邦隹皮全和隐私控制信白一知阳红I曲立右的!君率（古计划FedRAMP还要求接受FedRAMP评估和渗透测试的C

5、SP产品和解决方案（云服务必须归类为SaaSPaaS和/或IaaS（请参闻表2中的定义）.在某些场景下将多种云黯侬娴T躺可能是合出?.表2:由期分类云服务模型NlST描述（当前修订版）软件作为服务（SaaS）向消费者提供的功能是使用提供商在云基础设施上运行的应用程序。这些应用程序可遨2谙如曜各浏览器（例如基于网络的电子邮件之类碱客户皤接口或程序接口从各种客户端设备访问。消费者不留变嫡幅层云基ft三包括襁。谈-碘除。N台作为服务（PaaS）向消费者提供的功能是将消费者创建或获取的应用程序部署到云基础设施上这些应用程序是使用提供商支持的编程金、库喘和I鹿嫩如包舐珞、晤器、搐传幽丽制但可以翻国君的应

6、用程序以及应用程序托管环境的可彘配者设置基础设施作为服务向消费者提供的功能是提供火理、存储网络和典他基本计算资源消费者可以在其中部署和运行任意软件其中可以包括搽作系统和应用程序消费者不管理或控制IS层云基础设施但可以控制操作系统、存慵植居的应解序并且可能对瞬的网辘件（例如主机昉火墙进行有限的控制.在最终的渗透测试计划中,必须对CSP素蜕定义的测试边界内的所有组件关脱磅和访问路径（内部/外部进行范由界定和评估无啰谓邮J（SaaSIaaSPaaS或混合）,一组攻击向那是睇附的井筋3.1节中进行了概述CSP楞与其3PA0合作VWf确定本廨例晚的其颂击媒介任何与蜀i期曲柳庆向的偏差都必须得到授权官员（

7、AO）的批准交战规则（RoE）必须确定并定义与利用相关设备和/或服务相关的适当测试方法和技术渗透测试计划必须解决第3节中描述的所有攻击向量或解释为什么特定攻击向量被视为超出范围或不适用。3PA0可能包括他们认为基于正在评估的云服务产品合适的其他攻击媒介。有第IIJ试计螭更多信息蹦阅附录D:外嬲IJ（RoE）网1试计划模板2.0。威办CSP应咨询其3PA0以获得最有效的云服务产品（CSO）风险分析2.1.威胁模型FedRAMP渗透测试遵循多种威胁模型这期避是为与当前的对抗的咯和技术保持一致i研发的这些威胁!趣内置于每个攻击向量中以确僦权机构对现实世界的威胁和风险进行分析评估缓癖I媵受，3PA0应

8、至少通这以下威胁模型评估CSP的风险和安全：国于互联网（不可信）-网络威胁行为者-针对CSP托管用户的攻击-针对CSP托管用户的电子邮件攻击应用程序威胁参与者-基于物理的攻击-CSP企业（不受信任和受信任）- 违反CSP管理系统-违反CSP托管支持系统和/或网络违反CSP托管授权系统飞地公司内部威胁丢失CSP托管系统-内部互连够各包体外国对手转向美国公民社会组织飞地- 从CSPCOrPorate传播勒索软件对授权系统进行未经授权的物理访问即威胁（不可信和可信）- 权限和访问控制薄弱滥用授权系统服务政府系统传播勒索软件- 多组织访问授权系统一未经授权物理访问授权系统如果3PA0确定需要额外的威胁

9、模型来提供充分的FedRAMPW则CSP必须息意考虑3PA0梃议如果3PA0和CSP无法达成协议祖Q确定应执行此额外测试这可能会延长CSP获得FedRAMP授权的时间22攻击模型根据授权的甩务架构（IaaSPaaSSaaS混合）所有或部分攻击模型可能适用此外攻五避可I滤酸坏后陵多种方式丽三并且5据人员痛要展示利用漏洞或在不可行时验证漏洞的能力,涉澈悯不应严福限于自动扫械术还应包括手动技术3PAO的渗透测试方法和报告应为AO提供针对授权系统的攻击模里的清晰描述。该报告应频飒程中发现的蹦的验证和确认的具体攻击簸卜这一要求将确保方法和攻击模型得到了适当的满足。虽然不是一个完磬悯俄但渗透测试的目标应该

10、是1艮据MrrREATT&CK实现1以下所有目标知识库：企业- 侦察- 资源开发- 初始访问- 执行- 坚持- 权限提升- 防御回避- 凭证访问- 发现- 横向运动- 收就- 命令与控制- 渗漏- 影响与机- 初始访问- 执行- 坚持- 权限提升- 防御回避- 凭证访问- 发现- 横向运动- 收藏- 命令与控制- 渗漏- 影响- 网络效应- 远程服务效果FedRAMP意识至I磔测试来实现J戈蜥有目标并非对每个CSo都是可行的。由CSP和3PA0来确定最有可能影响特定情况的策略和技术1https:/attack.mitre.org/matrices/enterprise/cloud/系统FedR

11、AMP广泛依赖3PA。的渗透则试专业知隧识另胸脂施意行为者将采用的最适用的策略3PA0应解释为系统选择特定渗透测试策略的基本原理CSP应意识到,如果叔同:CSO的案见策略AO可旄会在审核期间要求进行蔽外测同这可能会延迟FedRAMP授权的时间3.0。攻MB攻击向被定义为可能导致赛蜕完整性机密性或可用性丢失蝌级皎翻危客途径FedRAMP已确定并开发了多种风陷场景,供3PAo在渗透测试期间审空和解决CSP和3PAO应就攻击媒介达成一致,如果无法执行特定的攻击向贝朦偏差必须包含在SAR中,作为与谶冽试指南的偏差CSP必须了解3PA。可能会将测试特定攻击向的不符合项视为SAR风院泰露表（RET）中的高

12、风粉结果三CSP强烈认为婀攻击向可能会对生产杀蜕造成重大负面熟自则鼓励CSP向AO提交不合格理由说明为何无潮fiit3PA0推荐的攻击向CSP和3PA0都必须意识到任何概定指南的!庭或不符合可能会导致FedRAMP授权时间延长因秘0需要时间来理解并同怠偏差或不符合情况3.1 强制攻击向量测试每个系统的技术可能会有所不同具体取决于服务产品（IaaSPaaSSaaS和混合）由于系维浜性,以下是所有授权系统的强制攻击媒介：卷业外部CSP目标系统外部租户到CSP管理系统书户对租户移动应用程序到目标系统阁户端应用程序和/或目标系统代理3.1.1攻击媒介1:企业外部企业外部攻击媒介需要对CSP的奈统管理员

13、以及可能影响寮统的管理人员执行社会工程（网络豹鱼攻击卷甥,如果进行油样贝咙颁在RoE中记录并在测试执行之前得到AO的批准。所有夕h三安全设备（例硼MSWeb应用程序防火墙垃圾邮的滤器和入侵防护系统都将允许攻击者的原始IP和电子邮件域电子邮件网络钓鱼活动网络钓鱼测试是3PA0和CSP之间的协调评估目的电电用n颔性而福电用解琏性用贺最后T簸血珞颜城朝邮件应列入所有安全系统的允许歹蛾并以未标记、未修S娴床更改的方式呈骏用尸反正3PAO必须与CSP安全团队协调以确颜旭不被以任何济豳此攻击媒介范围内的CSP用尸是所有有权访问CSP,、授权系统、应用程序或支持系统的用户此外田暝有CSP管理跳点特权级别访问

14、权B艮的系统管理员都应被视为在此评估范围内.3PA0有权与CSP协调利用己建的用户滕钓鱼图锦促阚岚3PA0将提供或批准测试中使用的电子三件模板和登录页面-3PA0必须自行执行此攻击媒介.或独立评估第三方网络钓鱼活动的有效性遭受网络钓鱼攻击的CSP人员的登陆页面应立即汉别出该电子邮件是网络钓鱼并提供有关如何识别未来网络钓鱼攻击的补充信息电子邮件活动将包括以下内容：正文中包含用户名的电子邮件登陆页面链接能够捕获打开的电子邮件（隐藏像索）登陆页面能够关联用户对登陆页面的访问用户名和密码捕获能够跟踪用户提交田于CSP要求绕过这些保妒CSP安全系统（例如沙箱和链接点击产生的误报将包含在总数中由于蹴西安全风险3PA0不应保留凭证相必须在测试后销毁它们FedRAMP要求3PA0报告角色和/或指标但不报告具体名称CSP还应要求在测试后更改所有密码提交给应腌序的任何数据,无i谣呜否都将M却啊失败.故障和严里性的指标可以基于最新的通用漏洞评分系统（CVSS）和3PA0专业知识例如应报告点击您而凭证皎域以及3PA0评分理由