来源:云标题

一家著名网络安全公司的两名安全人员9月份与爱荷华州签署了一份合同，对一些市政建筑(尤其是几栋法院建筑)进行“渗透测试”。他们在工作过程中被捕了。尽管爱荷华州承认与县政府沟通不畅，指控仍未撤销。这一事件引起了整个网络安全行业的担忧，包括一些人担心，在2020年总统选举前加强投票设施的测试可能会让安全专业人士面临风险。爱荷华州与一家著名的网络安全公司签署了一份合同，在9月份对一些市政建筑(尤其是法院大楼)进行“渗透测试”。9月，该公司的两名员工在工作时被捕。指控没有被撤销。这起事件��起了整个网络安全行业的担忧，包括担心许多公司可能会在2020年总统选举前加强测试设施(包括投票和选举设施)，从而让安全专业人员面临风险。常见测试和罕见结果渗透测试(通常称为“pen test”)是由安全公司进行的评估，旨在识别可能危及数据的技术和物理安全漏洞。这可能包括测试服务器以查看敏感数据是否会被电子窃取，或者测试设施以查看敏感数据或设备是否会被轻易侵入和访问。渗透测试人员试图在收取费用后闯入公司或政府设施、计算机、设备和数据中心。9月9日，渗透测试公司Coalfire的两名员工贾斯汀·韦恩(Justin Wynn)和加里·德马克里奥(Gary Demercurio)试图绕过爱荷华州达拉斯县法院的安全系统，使用那些“其他方法进入系统。据该公司首席执行官汤姆·麦克安德鲁称，这两名员工此前已经成功测试了另外两栋法院大楼，并与当地政府进行了良好的互动。麦克安德鲁告诉CNBC，在达拉斯县法院大楼，他们发现一扇门开着。他们关上门，试图再次打开，在此过程中触发了警报。麦克安德鲁说，在这种情况下，当局被要求等待当局的到来，永利和德梅科里奥这样做了。他说，当时，他们与警长的代表进行了良好的互动。代表们检查了他们的文件和证书。但是当警长到达时，他们因盗窃被捕。他们在监狱里呆了一夜，公司不得不保释他们出来。麦克安德鲁说，在渗透测试中，“警察介入并不完全是不寻常的”，但安全专业人员被逮捕是不寻常的。更令人惊讶的是，尽管有一份明确的合同概述了这两名雇员是被州司法部门雇佣闯入大楼的，但他们仍在达拉斯县面临指控。麦克安德鲁认为，员工在渗透测试中被捕并面临指控是“前所未有的”。根据逮捕时当地的新闻报道，参加渗透测试的各州和有权监督法院大楼安全的达拉斯县之间似乎沟通不畅。麦克安德鲁说，但这应该与犯罪是否发生无关。麦克安德鲁:“我不知道当局为什么不让他们走。他们被关在监狱里。我们认为州和县会一起解决这些问题。当我们得知指控将被减轻而不是撤销时，我们对这种情况的发生感到震惊。”据《得梅因纪事报》报道，爱荷华州最高法院法官马克·卡迪上月就此事向州参议院委员会道歉。然而，据报道，一些立法者抱怨渗透测试可能对公众构成一些“危险”。根据该事件的调查结果，煤火公司自2015年以来已经与爱荷华州最高法院签署了进行渗透测试的合同。服务订单允许典型的渗透测试服务，包括“跟踪”(试���在有权进入所有建筑区域的授权员工后面进入设施)和“无损开锁”。网络安全领域的警报人物大卫·肯尼迪(David Kennedy)是也进行渗透测试的网络安全咨询公司Binary Defense and Trusted Sec的创始人兼首席执行官。他解释说渗透测试非常普遍。肯尼迪说:“我和做这种工作的公司老板谈过很多次，他们认为这有点难以置信。你专注于你的工作和现有的保护措施。我们将尽最大努力确保您获得完全授权。这些人试图帮助他们的顾客提高他们的安全性 在肯尼迪的案件中，警方拨打了与他的公司签约的公司提供的电话号码，最终得到了保险公司要求渗透测试的保证。肯尼迪说:“我们都在密切关注这件事，我们对此感到关切。”凯西·埃利斯(Casey Ellis)，网络安全大规模测试服务Bugcrowd的创始人和主席，为公司和政府机构进行了有组织的渗透测试。他说，他在刚刚接触渗透测试(特别是成功的测试)的公司中看到了与达拉斯县的反应相似之处。埃利斯说:“当进行攻击性测试时，通常会有很大的过度反应，有些人会表现出他们的影响力。”他说，试图测试公司漏洞的黑客也因为他们的工作而面临法律诉讼，该行业试图制定相应的法律框架来保护他们。埃利斯说，爱荷华州事件促使他的公司对2018年名为“披露”的项目“寄予厚望”。信息作战是一个开源项目，旨在为寻求披露信息作战漏洞的研究人员制定“安全港”协议的指导原则。埃利斯说，他担心这一事件可能会限制渗透测试人员的范围和效果，尤其是在2020年大选前夕，当时选举和投票设施正受到越来越多的审查。埃利斯说:“当人们构建一个系统时，无论是计算机网络还是物理建筑，它都有主要功能。构建该系统的人不一定考虑安全性。我看到这个地区的需求正在迅速增长。