3、渗透测试方法论:PTES、OWASP、OSSTMM在核心网中的应用、测试范围界定与风险评估

各位同行,今天我们来聊聊核心网渗透测试的方法论。说实话,很多人一上来就拿着工具乱扫,结果扫出一堆告警,把自己先送进了合规的坑里。我个人习惯是,先定方法,再定范围,最后才动手。这就像盖房子,图纸都没画好,你砌墙再快也是白搭。

3.1 三大方法论在核心网的落地

目前业界主流的渗透测试方法论有三个:PTES、OWASP 和 OSSTMM。它们各有侧重,但在核心网这个特殊场景下,我们不能生搬硬套。我简单说说我的理解。

3.1.1 PTES(渗透测试执行标准)

PTES 是我个人最常用的框架。它把测试分成了七个阶段:前期交互、情报收集、威胁建模、漏洞分析、漏洞利用、后渗透、报告。核心网测试里,我最看重的是「威胁建模」这一步。

核心要点:PTES 强调「模拟真实攻击者」。在核心网中,攻击者可能不是从外部打进来的,而是从内部一个被攻破的网元横向移动。所以,威胁建模时要把内部信任边界也画出来。

我在项目中遇到过一件事:某运营商的核心网 IMS 区域,按照 PTES 的威胁建模,我们假设攻击者已经拿到了一个 SIP 节点的权限。结果后续测试发现,这个节点居然可以直接向 HSS 发送未授权的 Diameter 信令。嗯,这就是威胁建模的价值——它逼着你思考「如果这里失守了,接下来会发生什么」。

3.1.2 OWASP(开放Web应用安全项目)

OWASP 大家都很熟了,但它主要是针对 Web 应用的。核心网里有很多 Web 管理界面、API 网关、OAM 系统,这些地方用 OWASP 的 Top 10 来测,完全没问题。

但要注意,OWASP 的测试用例不能直接套用到核心网协议层。比如 SIP、Diameter、GTP 这些协议,OWASP 里没有现成的。我建议的做法是:把 OWASP 的测试思维(比如输入验证、身份认证绕过)映射到协议层面。

我的经验:核心网里很多 Web 管理后台用的是弱口令或者默认证书。我曾经在测试中发现,某厂商的 MME 网元 Web 界面,admin/admin 居然还能登录。这要是被合规审计查到,直接就是严重不符合项。

3.1.3 OSSTMM(开源安全测试方法论)

OSSTMM 更偏向于「运营安全」和「合规验证」。它不关心你用什么漏洞,它关心的是你的安全控制措施是否到位。说白了,OSSTMM 是审计视角的测试方法论。

在核心网合规审计中,OSSTMM 的「信道安全」和「人因安全」两个维度特别有用。比如,它要求检查运维人员的操作日志是否完整、是否存在未授权的远程访问通道。这些在 PTES 里可能不会重点覆盖,但合规审计一定会查。

避坑指南:我曾经在审计中发现,某省核心网机房的堡垒机居然有 3 个共享账号。按照 OSSTMM 的标准,这属于「身份认证失效」。但按照 PTES 的标准,这不算漏洞,因为攻击者不一定能利用。所以,方法论的选择直接决定了你的测试结论。这一点,大家一定要想清楚。

3.2 测试范围界定:画好你的边界

测试范围界定,是核心网渗透测试里最容易出问题的一步。范围定大了,可能影响现网业务;定小了,合规审计过不了。我一般按照以下三个维度来界定:

维度 说明 我的建议
网络域 核心网分为 CS、PS、IMS、EPC、5GC 等不同域 优先测试新建或改造的域,现网稳定域只做轻量级扫描
协议层 信令面、用户面、管理面 信令面必须测,用户面看需求,管理面必测
网元类型 HSS、MME、PGW、SBC、CSCF 等 每个类型至少选一个代表性网元做深度测试

为什么会这样划分?你想想看,核心网里一个网元挂了,可能影响几十万用户。所以测试范围必须「有重点、有取舍」。我个人习惯是先做一次资产梳理,把所有网元的 IP、端口、服务列出来,然后跟客户确认哪些是「可测试」的,哪些是「只可扫描不可利用」的。

关键原则:测试范围界定不是技术问题,是管理问题。一定要拿到书面的授权,明确写清楚「允许测试的 IP 段、协议类型、测试时间窗口、回退方案」。否则,一旦出问题,你背不起这个锅。

3.3 风险评估:从技术漏洞到业务影响

风险评估是渗透测试的最后一环,也是最容易被忽视的一环。很多人拿到漏洞列表就开始打分,CVSS 多少分就定什么级别。但在核心网里,CVSS 分数只能参考,不能直接套用。

为什么?因为核心网的业务连续性要求极高。一个 CVSS 9.0 的远程代码执行漏洞,如果只影响一个测试用的边缘节点,那风险等级可能只是「中」。但一个 CVSS 6.0 的配置错误,如果导致信令风暴,那风险等级就是「严重」。

我一般用以下矩阵来做风险评估:

漏洞严重性 业务影响程度 最终风险等级
高(影响现网用户) 严重
低(仅影响测试网元)
高(可能引发信令风暴)

举个例子:我曾经发现一个 Diameter 协议栈的缓冲区溢出漏洞,CVSS 评分 8.8。但经过评估,这个漏洞只影响一个已经停用的旧版 HSS,而且该 HSS 没有接入现网。最终风险等级定为「低」。反过来,一个 SIP 消息头解析的配置错误,CVSS 只有 5.0,但因为它可能导致全网 IMS 注册失败,最终风险等级定为「严重」。

3.4 知识体系总览

下面这张图是我自己整理的,把三大方法论、测试范围界定、风险评估串在了一起。你可以把它当作本章的思维导图。

核心网渗透测试方法论 PTES OWASP OSSTMM 测试范围界定:网络域 | 协议层 | 网元类型 风险评估:漏洞严重性 × 业务影响程度 = 最终风险等级 输出:渗透测试报告 + 合规审计报告

这张图的核心逻辑是:三大方法论指导测试范围界定,测试范围界定决定了风险评估的输入,最终输出两份报告——一份给技术团队看漏洞,一份给合规审计看控制措施。缺一不可。

最后提醒一句:方法论是死的,人是活的。不要为了套方法论而套方法论。核心网渗透测试的最终目的是保障业务安全,不是完成一份漂亮的报告。我见过太多人把报告写得天花乱坠,结果核心网该漏的还是漏。嗯,希望大家能记住这一点。


公众号:蓝海资料掘金营,微信deep3321