FedRAMP測試指導(dǎo)手冊2022年6月30日FedRAMP滲透測試指南文件修訂歷史日期版本頁碼描述作者2015年6月30日1.0全部首次發(fā)布FedRAMP項目辦公室2015年7月6日1.0.1全部小幅更正和編輯FedRAMP項目辦公室2017/06/061.0.1覆蓋更新的FedRAMP徽標FedRAMP項目辦公室2017年11月24日2.0全部更新到新模板FedRAMP項目辦公室2022年6月30日3.0全部更新以反映當前最佳狀態(tài)滲透測試實踐FedRAMP項目辦公室第1頁FedRAMP滲透測試指南MP到。誰應(yīng)該使用本文檔？以下人員應(yīng)審閱本文檔：(CSP在他們的云系統(tǒng)上(3PAO時FedRAMPAO本文檔的結(jié)構(gòu)本文檔分為以下主要部分和附錄：表分 容第1節(jié)

測試范圍節(jié) 脅節(jié) 量第4節(jié) 圍第5節(jié)第6節(jié)

參與規(guī)則報告第2頁FedRAMP滲透測試指南第7條

測試日程要求第8條

第三方評估組織(3PAO)人員配備要求附錄A

FedRAMP縮寫詞C

定義參考交戰(zhàn)規(guī)則(ROE)/測試計劃模板第3頁FedRAMP滲透測試指南目錄關(guān)于本文檔1誰應(yīng)該使用本文檔？2如何聯(lián)系我們2本文檔的結(jié)構(gòu)221.0。測試范圍112.0。威脅22.1.威脅模型22.2.攻擊模型33.0。攻擊向量53.1強制攻擊向量515P7P89106和104.0。確定滲透測試的范圍105.0交戰(zhàn)規(guī)則116.0。報告126.1.目標系統(tǒng)的范圍136.2.期間評估的攻擊向量滲透測試136.3.評估活動時間表136.4.實際執(zhí)行的測試和結(jié)果136.5.調(diào)查結(jié)果和證據(jù)136.6。訪問路徑14第4頁FedRAMP滲透測試指南7.0。測試時間表要求148.0。第三方評估組織(3PAO)人員配備要求14P151516D則16交戰(zhàn)規(guī)則/測試計劃16系統(tǒng)范圍假設(shè)和限制測試時間表測試方法18相關(guān)人員18事件響應(yīng)程序18證據(jù)處理程序18第5頁FedRAMP滲透測試指南聯(lián)邦風(fēng)險和授權(quán)管理計劃(FedRAMP)要求按照以下指南進行滲透測試：NISTSP800?115（NISTSP800?145（）NISTNISTSP800?53（NISTSP800?53A（FedRAMPFedRAMPCSP（SaaSPaaSIaaS（2云服務(wù)模型

NIST描述（當前修訂版）軟件作為服務(wù)（SaaS）

（例?臺作為服務(wù)（PaaS）

向消費者提供的功能是將消費者創(chuàng)建或獲取的應(yīng)用程序部署到云基礎(chǔ)設(shè)施上，這些應(yīng)用程序是使用提供商支持的編第1頁FedRAMP滲透測試指南

向消費者提供的功能是提供處理、存儲、網(wǎng)絡(luò)和其他基本計算資源，消費者可以在其中部署和運行任意軟件，（CSP（/（SaaSIaaSPaaS或混合）第1PO的偏差都必須得到授權(quán)官員(AO)的批準。交戰(zhàn)規(guī)則(ROE)必須確定并定義與利用相關(guān)設(shè)備和/或服務(wù)相關(guān)的適當測試方法和技術(shù)。第3節(jié)3PAOD2.0P)FedRAMP3PAOCSP（）CSP第2頁FedRAMP滲透測試指南CSP攻擊CSP（）CSPCSPCSPCSP轉(zhuǎn)向美國公民社會組織飛地CSPCorporate（）3PAOFedRAMPCSP3PAO3PAOCSPCSPFedRAMP（IaaS）3PAOAO第3頁FedRAMP滲透測試指南MITREATT&CK?

1知識庫：FedRAMPCSOCSP和3PAO1/matrices/enterprise/cloud/第4頁FedRAMP滲透測試指南FedRAMP3PAO3PAOPOOPFedRAMP3PAOCSP3PAOSARCSP3PAOSAR(RETCSPCSP向AO3PAOCSP和3PAOFedRAMPAO（IaaSPaaSSaaS和混合）CSPCSP（第5頁FedRAMP滲透測試指南ROEAO（WebIP電子郵件網(wǎng)絡(luò)釣魚活動3PAO和CSP反正。3PAOCSPCSPCSPCSP3PAOCSP3PAO3PAO遭受網(wǎng)絡(luò)釣魚攻擊的CSP人員的登陸頁面應(yīng)立即識別出該電子郵件是網(wǎng)絡(luò)釣魚，并提供有關(guān)如何識別未來網(wǎng)絡(luò)釣魚攻擊的補充信息。電子郵件活動將包括以下內(nèi)容：?（素）能PP（OFedRAMP3PAOCSP(CVSS3PAO3PAO第6頁FedRAMP滲透測試指南非基于憑據(jù)的網(wǎng)絡(luò)釣魚攻擊PowerShell或Bash腳本3PAO3PAOO2CSPCSP（）。內(nèi)部威脅A2內(nèi)部威脅是無意的或有意的。CISA定義無意和有意的威脅非常清楚。為了便于使用，此處概述了這些威脅。無意識的威脅（疏忽、意外）人類是任何計算設(shè)備的最大威脅媒介之一。人類有時會缺乏耐心、粗心、疲倦、犯錯誤和拖延。故意威脅2https:///defining?insider?threats第7頁FedRAMP滲透測試指南3PAOCSPCSO隔離措施不力和縱深防御API（例如Web戶OIaaSIPURLVPN（）3PAOCSP“PaaSIP或URL。?SaaSIPURL。PCSP面PP第8頁FedRAMP滲透測試指南特權(quán)和非特權(quán)用戶CSP將為生產(chǎn)環(huán)境中的應(yīng)用程序提供特權(quán)級別帳戶，以便促進和識別攻擊者可能從未經(jīng)身份驗證的訪問轉(zhuǎn)到經(jīng)過身份驗證的訪問再到特權(quán)級別CSPFedRAMPCSPFedRAMPIaaS(VPC臺。APIVPC臺。PaaSPaaSIaaSPaaS（議SSSI并且需要進行測試。SaaSAPI）。對云服務(wù)產(chǎn)品的訪問應(yīng)反映系統(tǒng)客戶使用的方法。應(yīng)為3PAO提供兩個完整的生產(chǎn)客戶租戶來執(zhí)行租戶到租戶的攻擊向量。第9頁FedRAMP滲透測試指南CSPCSPCSPCSPCSO和P（）PCSP（CSO（CSPCSPCSPCSPSSP3PAOSSP3PAOFedRAMPCSP第三方資產(chǎn)的許可都必須在范圍內(nèi)，并且是CSP的責(zé)任。4.0。確定滲透測試的范圍SSP合將構(gòu)成滲透測試的系統(tǒng)邊界。第10頁FedRAMP滲透測試指南許可都必須在范圍內(nèi)，并且是CSP的責(zé)任。PPFedRAMPPaaSSaaSFedRAMP（即PPaaSSaaSFedRAMP試，并且CSP需要獲得3PAO執(zhí)行較低層滲透測試所需的所有授權(quán)。滲透測試可能需要：（（ISP）（MSSP）受P三方的批準。3PAO5.0交戰(zhàn)規(guī)則(ROE)滲透測試計劃必須包括：和納入滲透測試。ROE3PAOCSPROE第11頁FedRAMP滲透測試指南ET)5BOTP5第7CIOCISO和ISSOFedRAMPROECIO、CISOISSOAOROEFedRAMP63PAOFedRAMPROE3PAOCSPCSP3PAO（OP授3PAO6.0CSPCSPFedRAMP3PAOCSO6.0滲透測試評估活動和結(jié)果必須組織并匯編成綜合滲透測試報告，納入SAR。滲透測試報告沒有提供模板。CSP3PAOCSPCSP第12頁FedRAMP滲透測試指南（3PAO（）概述所評估的目標系統(tǒng)以及是否與交戰(zhàn)規(guī)則/TP文件存在任何偏差。描述執(zhí)行滲透測試時所測試的攻擊向量和所遵循的威脅模型。記錄滲透測試活動的執(zhí)行時間。記錄為滿足本文檔中概述的滲透測試要求而執(zhí)行的實際測試，并記錄每個測試的結(jié)果。調(diào)查結(jié)果應(yīng)包括問題描述、對目標系統(tǒng)的影響、對CSP的建議、風(fēng)險評級以及為每個調(diào)查結(jié)果提供背景的相關(guān)證據(jù)。第13頁FedRAMP滲透測試指南6.6。訪問路徑PO7.03PAOSAPSAR6FedRAMP128.0。第三方評估組織(3PAO)人員配備要求3PAO1驗。第14頁FedRAMP滲透測試指南附錄MPFedRAMPFedRAMP請將問題發(fā)送至info@。以下是本文檔的定義列表：(CSP)–負責(zé)部署(CSOCSPCSPCSP基礎(chǔ)設(shè)施或帶外管理，以促進對云服務(wù)的管理訪問。管理系統(tǒng)是只有CSP人員和授權(quán)個人才能訪問的支持基礎(chǔ)設(shè)施。第15頁FedRAMP滲透測試指南D戰(zhàn)交戰(zhàn)規(guī)則/測試計劃(ROE(TP3PAOCSPROETP。ROETPNISTSP800?115BAO3PAOFedRAMPFedRAMPROE滲透測試計劃必須包括或考慮以下注意事項：第16頁FedRAMP滲透測試指南（）CSP（）滲透測試計劃必須描述：（CSO3PAOa必須證明在ROE/TP和滲透測試報告中省略上述第3節(jié)中描述的任何攻擊向量是合理的。系統(tǒng)范圍(IP(URL)假設(shè)和限制測試時間表提供一個時間表，描述測試階段、啟動/完成日期，并允許跟蹤滲透測試可交付成果。第1