《2022FedRAMP渗透率测试指导手册.docx》由会员分享,可在线阅读,更多相关《2022FedRAMP渗透率测试指导手册.docx(23页珍藏版)》请在三一办公上搜索。
1、FedRAMP渗透率测试指导手册2022年6月30日文件修订历史日期版本页码描述作者2015年6月3Q日1.0全部首次发布FedRAMP项目办公室2015年7月6日1.0.1全部小幅更正和编辑FedRAMP项目办公室2017/06/061.0.1覆盖更新的FedRAMP徽标FedRAMP项目办公室2017年11月24日2.0全部更新到新模板FedRAMP项目办公室2022年6月30日3.0全部更新以反映当前最佳状态渗透测试实践FedRAMP项目办公室对于FedRAMP机构ATo这可霜懿机构指定的任何评估组织到.谁应该使用本文档?以下人员应审阅本文档:-云服务提供商(CSP)准备执行渗透测试时在
2、他们的云系统上第三方评估组织(3PAO)在规划执行和估时FedRAMP渗透测试活动报告-Ao制定和评估渗透测试计划本文档的结构本文档分为以下主要部分和附录:表1:如脚分表部分内容第1节测试范围第2节威胁第三节攻击向as第4节确定渗透测试的范围第5节参与规则第6节报告第7条测试日程要求第8条第三方评估组织(3PA0)人员配备要求附录AFedRAMP缩写词附录B定义附录C参考附录D交战规则(RoE)&IJ试计划模板目录关于本文档1谁应该使用本文档?2如何联系我们2本文档的结构2表吩三21.0测试范围1表2:司蜀送12.1 威胁22.1. 威胁模型22.2. 攻击模型32.2 攻击向星53.1 强制
3、攻击向量51.1.1 击媒介1:企!畋郦51.1.2 攻击媒介2CSP目标系蜕外部71.1.3 攻击媒介3:租国OCSP管理系统81.1.4 攻击向量4:租户阴胪91.1.5 ,攻击5座5:目榻娥帆I硼翻l1.1.6 攻击媒介6:目标系维唐户端应制的0/或代理14.0确定渗透测试的范围105.0交战规则U6.0报告126.L目标系统的范围1362期间评估的攻击向量渗透测试1363评估活动时间表136.4.实际执行的测试和结果1365调查结果和证据136.6访问路径147.0。测试时间表要求148.0。第三方评估组织(3PAO)人员配备要求14附录AFedRAMP缩写词15附录B;定义15附录C
4、:参考文献16附录D:参砌则/测试计划模板16交战规则戊IJ试计划16系统范围Oji假设和限制测试时间表】7*测试方法18相关人员18事件响应程序18证据处理程序181.0。溅靛H联邦风险和授权管理计划(FedRAMP)要求按照以下指南进行渗透测试:-NISTSP800-115(当前修订售息安全测试技术指南t三-NlSTSP800-145(当前修订版)NIST云计算的定义-NISTSP800-53(当前修订版售息系统和隐私的安全和隐私控制组-NISTSP800-53A(当前修订版评估联邦隹皮全和隐私控制信白一知阳红I曲立右的!君率(古计划FedRAMP还要求接受FedRAMP评估和渗透测试的C
5、SP产品和解决方案(云服务必须归类为SaaSPaaS和/或IaaS(请参闻表2中的定义).在某些场景下将多种云黯侬娴T躺可能是合出?.表2:由期分类云服务模型NlST描述(当前修订版)软件作为服务(SaaS)向消费者提供的功能是使用提供商在云基础设施上运行的应用程序。这些应用程序可遨2谙如曜各浏览器(例如基于网络的电子邮件之类碱客户皤接口或程序接口从各种客户端设备访问。消费者不留变嫡幅层云基ft三包括襁。谈-碘除。N台作为服务(PaaS)向消费者提供的功能是将消费者创建或获取的应用程序部署到云基础设施上这些应用程序是使用提供商支持的编程金、库喘和I鹿嫩如包舐珞、晤器、搐传幽丽制但可以翻国君的应
6、用程序以及应用程序托管环境的可彘配者设置基础设施作为服务向消费者提供的功能是提供火理、存储网络和典他基本计算资源消费者可以在其中部署和运行任意软件其中可以包括搽作系统和应用程序消费者不管理或控制IS层云基础设施但可以控制操作系统、存慵植居的应解序并且可能对瞬的网辘件(例如主机昉火墙进行有限的控制.在最终的渗透测试计划中,必须对CSP素蜕定义的测试边界内的所有组件关脱磅和访问路径(内部/外部进行范由界定和评估无啰谓邮J(SaaSIaaSPaaS或混合),一组攻击向那是睇附的井筋3.1节中进行了概述CSP楞与其3PA0合作VWf确定本廨例晚的其颂击媒介任何与蜀i期曲柳庆向的偏差都必须得到授权官员(
7、AO)的批准交战规则(RoE)必须确定并定义与利用相关设备和/或服务相关的适当测试方法和技术渗透测试计划必须解决第3节中描述的所有攻击向量或解释为什么特定攻击向量被视为超出范围或不适用。3PA0可能包括他们认为基于正在评估的云服务产品合适的其他攻击媒介。有第IIJ试计螭更多信息蹦阅附录D:外嬲IJ(RoE)网1试计划模板2.0。威办CSP应咨询其3PA0以获得最有效的云服务产品(CSO)风险分析2.1.威胁模型FedRAMP渗透测试遵循多种威胁模型这期避是为与当前的对抗的咯和技术保持一致i研发的这些威胁!趣内置于每个攻击向量中以确僦权机构对现实世界的威胁和风险进行分析评估缓癖I媵受,3PA0应
8、至少通这以下威胁模型评估CSP的风险和安全:国于互联网(不可信)-网络威胁行为者-针对CSP托管用户的攻击-针对CSP托管用户的电子邮件攻击应用程序威胁参与者-基于物理的攻击-CSP企业(不受信任和受信任)- 违反CSP管理系统-违反CSP托管支持系统和/或网络违反CSP托管授权系统飞地公司内部威胁丢失CSP托管系统-内部互连够各包体外国对手转向美国公民社会组织飞地- 从CSPCOrPorate传播勒索软件对授权系统进行未经授权的物理访问即威胁(不可信和可信)- 权限和访问控制薄弱滥用授权系统服务政府系统传播勒索软件- 多组织访问授权系统一未经授权物理访问授权系统如果3PA0确定需要额外的威胁
9、模型来提供充分的FedRAMPW则CSP必须息意考虑3PA0梃议如果3PA0和CSP无法达成协议祖Q确定应执行此额外测试这可能会延长CSP获得FedRAMP授权的时间22攻击模型根据授权的甩务架构(IaaSPaaSSaaS混合)所有或部分攻击模型可能适用此外攻五避可I滤酸坏后陵多种方式丽三并且5据人员痛要展示利用漏洞或在不可行时验证漏洞的能力,涉澈悯不应严福限于自动扫械术还应包括手动技术3PAO的渗透测试方法和报告应为AO提供针对授权系统的攻击模里的清晰描述。该报告应频飒程中发现的蹦的验证和确认的具体攻击簸卜这一要求将确保方法和攻击模型得到了适当的满足。虽然不是一个完磬悯俄但渗透测试的目标应该
10、是1艮据MrrREATT&CK实现1以下所有目标知识库:企业- 侦察- 资源开发- 初始访问- 执行- 坚持- 权限提升- 防御回避- 凭证访问- 发现- 横向运动- 收就- 命令与控制- 渗漏- 影响与机- 初始访问- 执行- 坚持- 权限提升- 防御回避- 凭证访问- 发现- 横向运动- 收藏- 命令与控制- 渗漏- 影响- 网络效应- 远程服务效果FedRAMP意识至I磔测试来实现J戈蜥有目标并非对每个CSo都是可行的。由CSP和3PA0来确定最有可能影响特定情况的策略和技术1https:/attack.mitre.org/matrices/enterprise/cloud/系统FedR
11、AMP广泛依赖3PA。的渗透则试专业知隧识另胸脂施意行为者将采用的最适用的策略3PA0应解释为系统选择特定渗透测试策略的基本原理CSP应意识到,如果叔同:CSO的案见策略AO可旄会在审核期间要求进行蔽外测同这可能会延迟FedRAMP授权的时间3.0。攻MB攻击向被定义为可能导致赛蜕完整性机密性或可用性丢失蝌级皎翻危客途径FedRAMP已确定并开发了多种风陷场景,供3PAo在渗透测试期间审空和解决CSP和3PAO应就攻击媒介达成一致,如果无法执行特定的攻击向贝朦偏差必须包含在SAR中,作为与谶冽试指南的偏差CSP必须了解3PA。可能会将测试特定攻击向的不符合项视为SAR风院泰露表(RET)中的高
12、风粉结果三CSP强烈认为婀攻击向可能会对生产杀蜕造成重大负面熟自则鼓励CSP向AO提交不合格理由说明为何无潮fiit3PA0推荐的攻击向CSP和3PA0都必须意识到任何概定指南的!庭或不符合可能会导致FedRAMP授权时间延长因秘0需要时间来理解并同怠偏差或不符合情况3.1 强制攻击向量测试每个系统的技术可能会有所不同具体取决于服务产品(IaaSPaaSSaaS和混合)由于系维浜性,以下是所有授权系统的强制攻击媒介:卷业外部CSP目标系统外部租户到CSP管理系统书户对租户移动应用程序到目标系统阁户端应用程序和/或目标系统代理3.1.1攻击媒介1:企业外部企业外部攻击媒介需要对CSP的奈统管理员
13、以及可能影响寮统的管理人员执行社会工程(网络豹鱼攻击卷甥,如果进行油样贝咙颁在RoE中记录并在测试执行之前得到AO的批准。所有夕h三安全设备(例硼MSWeb应用程序防火墙垃圾邮的滤器和入侵防护系统都将允许攻击者的原始IP和电子邮件域电子邮件网络钓鱼活动网络钓鱼测试是3PA0和CSP之间的协调评估目的电电用n颔性而福电用解琏性用贺最后T簸血珞颜城朝邮件应列入所有安全系统的允许歹蛾并以未标记、未修S娴床更改的方式呈骏用尸反正3PAO必须与CSP安全团队协调以确颜旭不被以任何济豳此攻击媒介范围内的CSP用尸是所有有权访问CSP,、授权系统、应用程序或支持系统的用户此外田暝有CSP管理跳点特权级别访问
14、权B艮的系统管理员都应被视为在此评估范围内.3PA0有权与CSP协调利用己建的用户滕钓鱼图锦促阚岚3PA0将提供或批准测试中使用的电子三件模板和登录页面-3PA0必须自行执行此攻击媒介.或独立评估第三方网络钓鱼活动的有效性遭受网络钓鱼攻击的CSP人员的登陆页面应立即汉别出该电子邮件是网络钓鱼并提供有关如何识别未来网络钓鱼攻击的补充信息电子邮件活动将包括以下内容:正文中包含用户名的电子邮件登陆页面链接能够捕获打开的电子邮件(隐藏像索)登陆页面能够关联用户对登陆页面的访问用户名和密码捕获能够跟踪用户提交田于CSP要求绕过这些保妒CSP安全系统(例如沙箱和链接点击产生的误报将包含在总数中由于蹴西安全
15、风险3PA0不应保留凭证相必须在测试后销毁它们FedRAMP要求3PA0报告角色和/或指标但不报告具体名称CSP还应要求在测试后更改所有密码提交给应腌序的任何数据,无i谣呜否都将M却啊失败.故障和严里性的指标可以基于最新的通用漏洞评分系统(CVSS)和3PA0专业知识例如应报告点击您而凭证皎域以及3PA0评分理由非基于凭据的网络钓鱼攻击确定用户是否可以运行不受信任的PowerSheII或Bash蒯本。在这种类型的攻击中脚本可以收集计算机的本地用户名和主机名,并将有效负载发送回3PA0服务器。这表明远程代码执行是可能的。3PA0不需要捕获凭据,但同藤诸如脚本何喉行、在什么情况1行以及允许运行脚本
16、的角色等项目。腌媒不是网络钓鱼攻击的目标无论幽与否3PA0都可以提供宏或脚本执行的证据来代替凭据,3.12. 击媒介2:CSP目标系统外部CSP目标系缈卜部攻击向量模艇魏i三自外自喝励参与者和不可信随于互联网的攻击的漏洞;内BB三例如权限防间控制薄弱和滥用系统服务;不良的客户分留措施(例如襁当的网络邠繇皮全腾帙施不若)内部威胁GSA指出“内部碰带来了复杂且动态的风险影晌所有关蟠础设施部.口的公共和私人领域2内部威胁是无意的或有意的CISA定义无意和有意的威胁非簿清楚为了便于使用此她概述了这些威胁无意识的威胁(疏忽、意外)人类是任何计算设备的最大威胁媒介之一人类有时会缺乏耐心用心疲倦、犯错误和拖
17、延疏忽是指未能采取合理的谨慎或尽职调查。大多数内8三慵限E瞋正了解物理犍辑安全原因的人员所采取的行混成的。这些人认为安全是针对少数人的故意选择忽视基本隹皮全原则三速生人可哙蟒忽略安全更新因为它不方便意外威胁大多是错误实施的,但也可能是疏忽事懈成的我将电卜喇视为胡陛错眺将冈弼IA蜩的人造成的这陶外喇的姓主要是因为一个人不了解安全原理和应用施Q-此类人可能不了解隐私数据并可能将虹社会安全号码5陵作为夕陪睡子fi腑雨阂附件发送或看瓯!能是因为某人在不知不觉中将包含敏感公司数据的电子邮件转发给了业务竞争对手。此类人可能喜欢将电子邮件附件或笑话转发给其他人但没有意识到附件包含恶意软件故意威胁故怠威胁是指
18、故意对他人或组嬲成伤害,这些威胁是不演叼满的员工造成的,稼猪之所以申邮融是廓侬献和嬲乱镉心而用的员工可能空哂题因为帧觅得2https:/www.cisa.gov/defining-insider-threats他们受到了不公R的对待,这蚂螂!人可哙飒坏设备或造成其他类型的破坏和暴力其他人可能会窃取专有数瘴旗帜产权以穿贼Ili发展的虚假希望。其他威胁其他威胁包括共谋、第三方行为者以及直接和间接威胁敦SBPAO和CSP考虑每种类型的内部期并确定如何最好地测tCS0以最大限度地减少这些威胁隔留措施不力和纵深防御当前暴露于公共互联网的应用程序和系统应根据作为信息系统外聊界一部分提供的足迹进行旗位(和风
19、险分配API和股务测试应在会话或攻击者已知所有外部端点的不太理想的场景“此外所翻励或主班耻安全设备(例如Web应用程序防火墙和管基于软件的安全控制都将被绕过以方便测试攻击向量2可以与攻击向量3”和改击向量4试只要醋所有攻击场景并且用户/管理体验不存在差异3PA。还需要针对源自公共访问的危害场景提高风险评级,TaaS-测斌应源自攻击用于托管或管理授权系统的外部IP或URL的公共互联网崛脚外打破蝌、VPN或站点到站点连接接口(未经身份验证)3PA0应考虑企业共享服务和系统以及这些服务和系细扑顺可能对联邦政府数据和谈据产生的直接或间接影响睡系统通常驻留在CSP企业酶上,并且应根侬对认可系统的影防味评
20、估互连PaaS-测试应源自公共互联网攻击用于托爵唯理授权系统以及应用程序或适用数据库内的外部IP或URL。SaaS-测试应源自公共互联网攻击用于托管ft询嬲系统以及应瞬序或适用数据库内的外部IP或URL,3.13. 攻击媒介3:租户专ICSP管理系统此租户到CSP管理系统攻击向摄模版和测试来自网络威胁参与者应用程序威胁参与者以骸权系缴覆滥物渊V不可信内部8溯和可信内部威胁。此攻击向量是通过进行完整的应用程序测试来执行的由于配维i系僦也陷、蹄期雌、玳物既值则常商7或命令行界面(CLI)-尝试访问CSP管理系统允许访问CSP管理区域特权和非特权用户CSP将为生产环境中的应用程序提供特权级别帐尸,以
21、便促进和识别攻击者可能从未经身份验证的访问转到经过身份验证的访问再到特权级别访问的场景所有租户对CSP留1系统的攻壬均应使用信息系统客户用户可用的最高级另印艮进行目的是识S特权客户断可能损害底层系崎瞰任何机会虽然云提供商可能更喜欢在开发/测试环境中谭估租户但型环境很少与生产部署相同并且不会用作FedRAMP渗透测试向量的有效表示CSP的生产环境应该具有足够的弹性来维持FedRAMP渗透测试-IaaS-测试应源自托管的虚拟私有云(VPC)服务、月共领台。允许租户空间与基础设施颜台层之间进行通信的代理APl和应用程序均在范围内,以确保主机受损仅限于VPC或Z台-PaaS-测试应源自所提供的N台并断
22、访科姆级别BgPaaS管理条筑或IaaS级别的系统由于国有的PaaS定制和修改(基于甩弱级别协设SLA)PaaS实施可埃会影响底层IaaS的安全性用于髀SSaaS解决方案的自动化代码部署工具或CLI被视为在范Si内并且需要迸行测试-SaaS-测试应源自应用程序APl或CU(如果作为授权系统的一部分提供的工具),3.14. 攻击向呈4:租户对租户此攻击向量模拟并测试来自不受信任的内厥胁和受信任的内部威胁糠碘索筮件等问题源自政府和多个组织对授权系统的访问权限。此攻击向量是通过进行完整的应用程序测试来执行的该测试挨试使用T租户的临时访问阱睐台另T租户.需要设置环境来测试所提供服务的各个方面包括哪谓证
23、、数据访问用户权P群哈话对云服务产品的访问应反映系统客户使用的方法。应为3PA0提供两个完整的生产客尸租户来执行租户到租户的攻击向ST3.1.5。攻击向B5:目标系统的移动应用程序移动应用程序到目标系统的攻击向星包括模拟尝试访问CSP目标系统或CSP管理系统的移动应用程序用户。此嫡向量在代表性移动设备上进行了测试,不会直接影响CSP目标系统或基础设施。从此活动中获得的信息可用于为其他攻击媒介的测试提供信息。如果移动应用程序不是CSP的CSe)的一部分,贝何以将此攻击向量标记为超出范围3.1.6攻击媒介6:目标系统的客户端应用程序和/或代理对于此攻击向量三CSP提供客户端组件(即在客户环境中本地
24、安装的组件)贝晚照件必须包含在CSP的授权边界中,并作为CSP系统边界安全评估的一部分进行测试(如果这些组件是对于客户使用CSo至关重要。11落户端应用程序或组件可以包括(但不限于软件应用程序、月演器、设备、浏嘱部混、隔户翩代理。礁CSP提供可选使用的客户端组件并且礁CSP和客户之间达成一致则组件可以包含在CSP的测试授权边界中。CSP应在其SSP中以及3PA0的测试中包括超出客户补救能力的任何控三昔施,施助喇啾件开发。人们认识到其中许多僦腾施将对客户承担重大责任。这些共同责任应在SSP中明确列出ffiPAO进行评估。FedRAMP鼓励在CSP的测试范围内包含可选使用组件因为它可以减轻客户在组
25、件评估、授权和持续监控方面的负担。在确定评估的系统边界时,重要的是要考虑在第三方环境中执行期测试活动的法律后果。所有测活动必须仅限于初范围内的测试边界,以确保遵守所有协议并限制法律责任。不应对未明确记录许可的资产执行渗透测试。获l何第三方资产的许可都必须在范围内,并且是CSP的责任。4.0。确定渗透测试的范围拟议云服务的授权边界将首先根据SSP和附件确定。SSP第9节应以图表和文字明确定义云系统的授权边界。在施测M范围讨论期间,将审查各个系缴且件并将其视为渗透测试的宛围内或范围外。商定和授权的范围内组件的集合将构成渗透测试的系统边界。在确定评估的系统边界范围时三三的是要考虑在第三方环境中执行鳍
26、蜘活动的法律后果所有测试活动必须仅限于貂就国内的测试边界以确保遵守所有协议并B既法律贡任.不应对未明确记三午可的资产执行渗透测t.获得任何第三方资产的许可都必须在范围内并且是CSP的责任打算使用云堆栈”中锄龌的FedRAMP授权服务的服务模型可以利用这些服务的FedRAMP合规性和安全功能。因五堆栈中较低三的其他FedRAMP授权服务已解决的攻击向星无需重新评估。例2口如爵aaS和SaaS利用FedRAMP授权的另一层(即IaaS),则不需要对较低层进行娜测赋。然gCSP必须确定授权系统边界,并为他小打算声称从支持服务继承的任何控制提供理由0瞰PaaS和/或SaaS包括针对较低层的FedRAM
27、P授权安全功能,则需要对较fg层进行共测试.并且CSP需要获得3PA0执行较低层渗透测试所需的所有授权。渗透测试可能需要:与第三方(例如互联网服务提供商(ISP)、托管安全服务提供商(MSSP)、设确赁者、中锵月第科或参与测试或受测试影响的其他组织进行谈判并达成协议。逊t看兄下CSP负责在测试开始之前进行协调并获得第三方的批准当云系统存在多个租户时CSP需要搭建临时租户环境。不存在另一个适合测试的租户环境。如果3PA0验证了攻击向星并且模型得到了有效测试,贝阿以使用拧里开发实例来满足多租户需求5.0交战规则(ROE)渗透测试计划必须包括:每个计划攻击的途径、限厢方法的描述。详细的测试计划指定每
28、个测试周期的开婿嘴束日期/时间以及内容以及总体渗透测试的开始和结束日期。很术联络点(Poc)并为每个可能发生故障的子系统和/或应用程序提供备份。纳入渗透测试。渗透测试ROE描述了渗透测试的目标系统范围维以及适维豳闲蝴。3PAO根据CSP提供的参数制定ROE。这ROE必苑根据NIST特别出版物(SP)800-115附录B制淀并在测(前磔IJAo的雌因卜NISTSP800-115第7节安全评估执行岫“一旦发现任何严歪的高影晌漏洞傩立SIWflQOCISO和ISSO等相关人员FedRAMP要求ROE必须包含此条款并除了ClOCISO和ISSO之外还包括AO。旃OE的更多信息,请嬲FedRAMP安全评
29、估计划模板的第6节参与规则3PAO必须在提交给FedRAMP的FedRAMP安全评估计划中包含一份ROE副本交战规则还应包括:本她计算机事件响应团队或靛力及其行使该第力的要求渗透测试物理渗透限制KE签署交战规则之前充分制定可接受的社会工程借口。笔记:-社会工程测试基于3PAO挑战CSP用户的专业知识未靛遵循书面的公民社会组织政策和程序-可以根据CSP安全意识和培训的有效性进行评估程序-不存在一刀切”的社会工程测试3PAO应在测试时考虑威胁并蹴些方法(如若用纳入其渗透测试方法中对田可第三方协议的摘要和参考包括可能受渗透测试影响的第三方的PoC并且必须包含在文档中如果需要根据AO审核并在FedRA
30、MP授权软件包之前完成额外测试典股权时间将会延长3PA0必须在渗透测试报告第6.0节中完整记录CSP不同意社会工程测试背后的理由比h询CSP向FedRAMP报告任何抗议的3PA0渗透测试练习考虑到所提的CSO的性质这些测试练习似乎过于严格6.0oJl渗透测试评估活动和结果必须组织并汇编成综合渗透测试报告,纳入SAR渗透测试报告没有提供模板渗透测试报告应包括符合CSP组织政策的誉当机型性和敏硬性标记3PA0应根据CSP组级的政策,麴按全方式向CSP提供报告报料包息包含敏感数据(耐解、表格、雌的报告必须使用使敏感数据永久无法被报告接收者恢复的技术进行清理或屏蔽。3PA0不得在蹑终报告中包含密码(包
31、括加密形式的密码)或者必须对其进行屏蔽以确保报告的接论健或嬲密码该报告需要阐述以下部分但不一定按此财:6.1.目标系统的范围概述所评估的目标系统以及是否与交战规则0P文件存在任何偏差62渗透测试期间评估的攻击向量描述执行渗透测试时所测试的攻击向H和所遵循的威胁模型6.3. 评估活动时间表记录渗透测试活动的执行时间6.4. 实际执行的测试和结果记录为满足本文档中概述的渗透测试要求而执行的实际测试并记录每个测试的结果6.5. 调查结果和证据调吉结果应包括问题描述对目标系统的影响对CSP的建议风险评级以及为每个调吉结果提供背景的相关证据6.6. 访问路径访问路径是导致系统完整性、机密性或可用性下IW
32、攵击向星、利用和后利懒如果多个赢J可以侬起来形成针对CSP的复杂攻击3PA0必须描述访问路径和渗透测试影响7.1. 0测试时间表要求对于每个初始安全授权,统测试必须由3PAO完成,作为SAP中描述的评估流程的一部分。该初始渗透测试必须在提交SAR之前6个月槌行。一旦进入FedRAMP流程的持续监控阶段必傩少每12个月执行一次额外的渗透测试活动除目股权机构以书面理由批准另行批准7.2. 第三方评估组织(3PAO)人员配备要求所有渗透测试活动必须由已证明渗透测试能力并维护定义的渗透测试方法的3PAO执行渗透测试团队负责人必须拥有行业认可的渗透测试证书以及R311联邦风险和授权管理计划(FedRAM
33、P):求中要求的同等教育幅验。附录AFedRAMP缩写词FedRAMP首字母缩略词和术语表定义主列表对于所有FedRAMP模板来说这是一个有用的资源,可以邈使用搜索功能找到。请将问题发送至info附录B:定义以下是本文档的定义列襄:- 攻击向猿基于攻击模型和现实威胁的规定攻击场景云服务提供商(CSP)-负责部署维弼暗理云服务的实体授权系统的安全性。- 云阳务产品(CSO)-政府客户提供和认可的服务台或功旎。企业-在授权边界之外访问的内部CSP网络该公司边界包括CSP拥有操作雁护的用于管理系缴照的所有娜这包三笫记梃脑%电话接联权系统任何部分的系统。- CSP管理系统-后端应用程序、系统喃硬件基础
34、设施式带外管理以促进对云服务的管理访问管理系统是只有CSP人员和授权个人才能访问的支持基础设施。内部威胁-屉员承包商政府雇员或第三方的个人恶意访问公司或授权系统。彳S服务提供或用于提供服务的功能。偿透测试技术安全控制的自动和手动测试的结合。- 目标向政府客户提供的预期最终产品。郎户云服务的客户实例附录D:交戈/测试规则计划模板交战规则/测试计划渗透测试交战规则(RoE)和测试计划(TP)文件描述了渗透测试的目标系统、范围、约束以及适当懈解噬露3PA0需要根据CSP提供的参数和系统信息制定ROE和TPRoE和TP文件必须根据NISTSP800-115附录B制定并骸心渤磔IJAo的批准3PAO必须
35、在提交给FedRAMP的FedRAMP安全评估计划中包含一份RoE副本,渗透测试计划必须包括或考虑以下注意事项:储透力-网络渗透率-无线网络渗透率-物理渗透社会工程渗透及膨响的IP范围和域可接受的社会工程信口目屣织的能力和技术调查工具特定测试周期(开始和结束日期/时间)-CSP报告要求(格式嗡媒体力康)渗透测试计划必须描述:标地点三息类别例如开源情报小情报布息类型,例如W里卷塔电A横据询限豳名遍性引留用业务关系(客户、供应商、合资企业或合作伙伴的约束CSO控制基线提供了彻觥IiS这些关系的方法尤其是供应雌制3PA0a必须证明在ROE/TP和渗透测试报告中省略上述第3节中描述的任何攻击向星是合理
36、的系统范围提供云服务系统的边界和范围的描述以及任何已识的却服务或系统系统范围应考虑所有互联网协议(IP)地址、统T三标识符(URL)、设备、组件软伸斛,假设和限制描述可能对渗透测试活动或结果产生影!除嘏设、依!财领醐酶对可能与则iil或砌睽为当it涮娜献学弼1用假设还包括任何!龌的协议或对第三方软件、系统或设的访问。测试时间表提供一个时间表描述测试阶段、后动/完成日期并允许跟踪渗透测试可交付成果测试方法方法部分将讨论上文第5节中所述的相关渗透测试活动相关人员提供参与渗透测试管理和执行的关键人员名单-该清单至少应包括:W统所有者(CSP)可信代理(CSP)懵透测试团队负责人(3PAO)年透测试团队成员(3PA。)济级联络点(CSP和3PAO)事件响应程序提供在渗透测试期间巨动需要事件响应十预的事件时应避循的通信键和程序的描述证据处理程序描述评估过程中收集的渗透测试证据的传输和存储程序,
