案例背景与目标
壳牌(Shell)是一家全球能源和石化公司集团,拥有约9.4万名员工,业务遍布70多个国家和地区。壳牌新能源业务专注于交通运输新燃料(如生物燃料、氢能、电动汽车充电)和低碳电力(风能、太阳能等)。在经历网络安全事件后,壳牌零售(Shell Retail)联系了SoftServe公司,以实施网络攻击模拟与防护服务,评估其IT组织的当前安全态势和成熟度。选择SoftServe的原因在于其25年构建安全解决方案的经验、认证成功案例以及广泛的专业知识。
评估方法与范围
SoftServe被要求制定一个计划,执行以下工作:
- 黑盒渗透测试:采用黑盒方法进行外部边界渗透测试,涵盖本地设备与员工、员工安全与意识、内部IT基础设施、第三方资源与供应商、外部网络边界、面向公众的Web应用程序等测试领域。
- 社会工程模拟攻击:由SoftServe团队的认证道德黑客、专家和工程师进行,使用最佳实践和最先进的指南(如OWASP Top-10 Web应用风险和NIST改善关键基础设施网络安全框架)。
黑盒渗透测试分为十个阶段:
- 信息收集
- 目标发现
- 扫描和指纹识别
- 目标隔离
- 漏洞识别
- 漏洞分析
- 渗透利用
- 影响分析
- 缓解策略制定
- 报告
测试过程与发现
SoftServe与壳牌内部IT团队及领导层(包括CIO)紧密合作。由于黑盒测试不依赖内部知识,适用于检测由部署和配置问题引起的漏洞。测试发现了一系列缺陷,并提出广泛建议。其中,一些关键漏洞可能泄露敏感数据,且已识别的漏洞是可利用的,风险非常严重。
结果与价值
SoftServe的安全评估帮助壳牌零售避免了重大的经济损失。壳牌零售IT经理亚历山大·谢夫丘克表示:“SoftServe的团队拥有最高级别的安全专业知识。在安全评估中发现严重漏洞后,我们决定继续合作以降低风险。我们对SoftServe充满信心,并强烈推荐与他们合作。”
SoftServe的安全专家定义了有效方法,以消除所有已识别的漏洞,提高对外部和内部基础设施的关键控制,并教育员工关于安全风险以及定期测试内部安全政策和程序的重要性。
