The Future of Offensive Pentesting with Mark Goodwin
44:40 Share

攻击性渗透测试或攻击性渗透测试，涉及主动探测系统、网络或应用程序以识别和利用漏洞，模仿现实世界攻击者的策略。其目标是评估安全弱点并提供可操作的见解，以加强防御措施，防止恶意行为者利用这些弱点。Bishop Fox 是一家专注于攻击性安全测试的私人专业服务公司。

Mark Goodwin 是 Bishop Fox 的运营总监，他之前是美国空军的军官，从事网络空间作战。Mark 与 Gregor Vann 一起参加播客，讨论 Bishop Fox 和攻击性渗透测试的未来。

Gregor Vand 是一位专注于安全的技术专家，也是 MailPass 的创始人兼首席技术官。此前，Gregor 曾担任网络安全、网络保险和通用软件工程公司的首席技术官。他已在亚太地区工作近十年，可以通过他在 vand.hk 的个人资料找到他。

嗨，Mark。欢迎来到软件工程日报。嘿，感谢你的邀请。是的，很高兴今天能邀请你，Mark。你在 BishopVox 公司工作，我们将听到……

所有内容，并了解所谓的 Cosmos 平台以及 Bishop Fox 通常所做的事情。我认为首先要了解的是你非常有趣的背景，以及你最终是如何加入 Bishop Fox 的。所以，也许你可以先简单介绍一下自己，比如，大学毕业或高中毕业后，你做了什么？是的。再次感谢你邀请我。我叫 Mark。我在 Bishop Fox 工作了四年半。

我在 2012 年或 2013 年大学毕业。

立即加入空军担任现役军官，在那里我从事攻击性网络空间作战。所以有很多不眠之夜，很多漫长的一天，并且学到了很多关于威胁态势的知识。我们如何以保持工具包安全、平台安全并实现国家目标的方式攻击硬目标？所以我做了六年，六年半。

在我空军服役结束时，我开始申请工作，Bishop Fox 开始了一项名为 Cosmos 的新服务。这完全关乎大规模的持续攻击性安全。而且，你知道，非常令人兴奋，非常……

我认为这是攻击性渗透测试的未来，能够跟上国家行为者，跟踪新兴威胁，并识别客户可能不知道的攻击面。就像我说的，我在 2020 年 3 月加入 Bishop Fox，担任高级分析师，负责运营分析师团队，该团队致力于发现攻击面。我做了大约一年半。

领导运营团队，该团队致力于利用我们得出的情报、我们看到的攻击面，对潜在漏洞进行优先排序，并提供真正的肯定和否定，对吧？所以真正的肯定，这是一个我们知道存在、已经验证并证明你容易受到攻击的发现。

有了发现，或者我们给他们一个否定答案，说我们已经确定了这个主机存在。我们认为它会很脆弱，但事实并非如此。所以你知道你很好，对吧？你的防御团队正在做正确的事情。他们正在应用补丁。我们认为看到的这种错误配置实际上并不存在。

因此，我们能够提供这种安全保障，说，即使你没有发现，你也应该得到一些东西，说我们正在查看你的攻击面，我们没有看到任何东西。是的，非常有趣。所以我很想了解。所以你已经很好地概述了 Cosmos。

我的理解是 Bishop Fox 最初更像是一家咨询公司，而平台方面已经发展了相当长的时间。我相信 Bishop Fox 是在 2013 年左右成立的。我相信它比这还要老。我相信我们是一家 18 年历史的公司。所以是的，他们长期以来一直在做咨询工作。这已经……

这就是我们成名的方式。我们聘请了全国乃至全球一些最优秀的攻击性人才，让他们参与真正有趣的项目。我们投入时间来培训和开发工具，这将使攻击性网络社区变得更好。我必须向 Joe DeMessi 和他的 Sliver 工具表示感谢。

他构建的工具包。非常令人兴奋。我们几乎每天都在使用它。所以是的，Bishop Fox 最初是一家咨询公司。这仍然是我们确保客户安全、保护客户数据并尝试查找漏洞的主要方式。我们有我们的咨询公司，然后我们有 Cosmos 公司

它们都在不断发展壮大。太棒了。是什么，我想知道，是什么时候人们认为将这种知识转化为平台是有意义的？以及这种想法背后的过程是什么？是的。当我 2020 年 3 月加入时，我们一直在做，我们称之为 CAST，即持续攻击面测试。

然后我们已经做了将近一年了。我认为这源于这样一种想法，即我们如何利用我们极其熟练的顾问或运营商，为他们提供钢铁侠的套装，对吧？我们不想制造奥创，我们只是在自动化一切，但我们如何才能提升和改进我们的运营商？所以这就是驱动力。所以在我们非常旧的文档中，

我们有，你知道，我们不是在制造奥创，而是在制造钢铁侠，你知道，推动我们前进。因此，这部分内容是关注企业客户，对吧？他们的攻击面很大。当他们只需要帮助识别最重要的事情时，你如何查看所有这些内容，对吧？我们每天、每周、每年只有这么多时间。我们如何找到那些高级参与者将要关注的事情，对吧？黑客靠职业，很懒，对吧？

我们知道，如果我们可以利用 10 个运营商或 10 个顾问的知识，整合这些数据，使其易于获取，取消每个外部渗透测试开始的扫描。如果我们将其卸载到自动化怎么办？所以在周末或智能扫描中，当我们识别新目标时，它会进行扫描，然后为我们准备数据。所以我不是……

浪费周期等待扫描结果返回。相反，数据已经准备好了。然后当我开始工作时，因为我们已经有其他五个非常敏锐的顾问或运营商进行了类似的调查，我们就可以对我们正在查看的内容有所了解。是的。所以我觉得这里变得非常有趣。所以我的理解是该平台有三个部分。所以你有了自动化的攻击面，你有了自动化的应用程序，

应用程序渗透测试，然后这是否也理解自动化的内部测试和渗透测试是正确的？目前我们还没有实现自动化的内部渗透测试，但这绝对在路线图上，我们如何聪明地做到这一点，我们如何确保我们进入正确的位置，并且对于 Cosmos 来说，重点是可扩展性，对吧？我需要能够在 5 个目标、500 个目标或 5000 个目标以及远超此数的目标上做到这一点，对吧？所以现在主要关注的是 Web 应用程序渗透测试和

研究客户的攻击面，我们知道它构成了他们攻击面的大部分，对吧？那里会有 SSH 和 FTP 服务可能存在漏洞，我们正在攻击这些服务。但是大多数公司的攻击面将基于 Web。所以这就是我们在过去四年中真正专注于确保我们可以自动化的内容，例如，嘿，这是一个漏洞，你需要修复它，为团队准备工作，嘿，我们已经确定存在版本不匹配或

这里存在潜在的 SQL 注入。我们不会那样做。我们希望将其保留为人为决策，对吧？因为归根结底，我们最不想做的事情就是破坏客户基础设施，对吧？这可能是最糟糕的事情之一。

因此，利用这种洞察力，利用这种，你知道，优先攻击，我们能够说，嘿，我们将自动化我们不关心的这些事情。你需要修复它，对吧？目录列表是你不应该拥有的东西。这并不是一个好的配置，因为它有可能放置敏感信息。但我们并不一定需要去查看它，对吧？我们可以构建自动化程序来查找目录列表，告诉你，然后查找暴露的内容，并确定，这里是否有需要后续工作的敏感信息，对吧？

所以，你知道，持续的 Web 应用程序渗透测试是我们开始做的。持续的外部渗透测试是接下来要做的事情，好吧，既然我们已经将 Web 应用程序锁定，既然我们知道我们在寻找什么，我们如何寻找其他服务，你知道，SQL 和其他可能有点可疑的端点？我们如何开始定位这些并处理这些？

所以当谈到自动化的渗透测试时，我可能只需要稍微偏离一下主题，我的意思是，这也可以被归类为有效的自动化红队攻击。这是一种很好的思考方式吗？我认为这绝对很细微。

我认为有一些部分可以被认为是那样。当我想到红队攻击时，考虑到我来自军队的背景，我一直认为红队攻击就像，你知道，风险非常高。我需要悄无声息地行动。我需要，你知道，我正在与蓝队竞争，对吧？如果我是一个红队，我正在与蓝队竞争。我不想被抓住。

因此，红队必须运作、行动并做出不同的 OPSEC 决策，对吧？对于我们的持续外部渗透测试，对于我们的持续 Web 应用程序渗透测试，我希望你找到我。这将是一件好事，对吧？例如，如果你有智能过滤或智能日志记录，可以这样说，嘿，我们看到了这个东西，这不好，丢弃这些数据包，这对你来说是一个胜利。所以这就是细微之处，我会说。

但是方法仍然存在，对吧？例如，我想安全。我想确保我们不会破坏基础设施。我想确保我们可以在不引起日志记录的情况下获取所需的数据，因为这会使我们的工作更容易。

是的，我认为这是一个很好的细微差别。我的意思是，我们的一些听众，虽然技术含量很高，但安全可能不是他们实际接触过很多的东西。所以是的，红队和蓝队的术语，是的，红色是进攻性的，蓝色是防御性的。我相信现在甚至还有紫色团队，这是……是的，有紫色团队，你知道，蓝队走到一起，嘿，我们想看看我们能否识别这种攻击模式，对吧？攻击性环境很大。你不仅要与白帽，

甚至灰帽，你知道，安全研究人员竞争，你还有黑帽参与者，他们愿意造成伤害，愿意进行勒索软件攻击，并且正处于历史最高水平，对吧？紫色团队是一种解决这个问题的方法，你让红队成员与我们一起运行他们的剧本，对吧？告诉我们你什么时候要发动攻击，这样我们就可以查看我们的日志并弄清楚，我们是否已经到位了这些系统来捕捉它？

所以是的，对不起，细微差别，对吧？红队攻击对我来说是一个非常具体的进攻子集，但我认为我们所做的一切都在那个红队进攻方面。不，这很好。我认为能够解释这些，正如你所说，这是很细微的。所以

所以我只是想知道更多，Cosmos 是如何发展的？我的意思是，Cosmos，我认为你说了它现在已经投入生产了四到五年。这是正确的吗？是的。你能带我们逐年回顾一下吗，如果可能的话？是的。它从哪里开始，添加了什么以及为什么？因为我非常好奇你如何将这种人为过程转化

决定什么以及何时将其自动化并引入此平台。所以是的，如果你能带我们回顾一下。是的，这是一个不断变化的过程。我知道，自从 2020 年来到这里以来，我们现在所做的事情并没有太大不同，但它与我们当时所做的事情大相径庭。当我 2020 年加入团队时，

我们只使用好东西，对吧？我们只为高危或严重漏洞提供发现，对吧？就像这是在拉你的员工，他们不能休息周末。他们现在必须修复这个问题。其他所有内容都是通知，嘿，你可能应该修复这个问题。随着我们继续与客户合作，我们意识到存在更广泛的严重性级别，对吧？它从信息级别一直到严重级别是有原因的。

所以在 2021 年或 2022 年初，我们开始报告低到严重级别。我们仍然不做信息级别，因为这其中有很多噪音。而且，Cosmos 完全关乎经过验证的发现。如果我们给你写了什么东西，那就是你实际上需要查看的东西。所以大约在这里工作了一年后，我们开始报告这些低到严重级别的信息。所以随着我们获得更多客户，会有更多工作进来。这就是我们开始查看的地方，好吧，我们如何

识别应该自动化的那些漏洞类型？它真的能带来价值吗？我之前举过这个例子，但是，让我查看目录列表并说，是的，里面有包含文件的文件夹，这能带来价值吗？这并不总是与好东西等同，尤其是在相对良性的事情上，例如 CSS 文件夹，对吧？很少会有敏感信息存在其中。

但是你需要知道它，以便你可以修复它，以防万一，你知道，你有一个实习生，甚至是一个非常资深的人员去拖放并将其放在错误的文件夹中，对吧？我们已经报告过一些发现，例如，嘿，我们在 docs 文件夹中找到了密码，对吧？这不好。你需要确保不要这样做。所以这些就变成了两个发现。所以它真的变成了，你知道，为了生存和可扩展性，我们需要自动化什么？对。

所以它是这些低级别、中级别的，这是一个你需要修复的漏洞。这是一个系统配置问题。我们将把更难的后续工作留给运营商周期，对吧？我们让我们的分析师确保目标在范围内，然后我们的运营商将努力确保，嘿，这是我们在这些文件中发现的全部业务影响，随着我们的不断发展。

大约在 2022 年，我们开始自动化子域接管。同样，这是一种不需要花费太多时间但客户生命周期与 Cosmos 相关的漏洞类型，你被引入平台，我的分析师团队会出去识别他们可以找到的所有攻击面，对吧？他们使用开源情报。他们使用公开可识别的信息来弄清楚，好吧，这个人

在你的组织中，这个人通过 Whois 信息注册了这个域名，所以我们相信这个域名是相关的。

我们做了这项工作，我们总是会得到大量垃圾 DNS 记录、到处都是过时的 DNS、曾经注册并与客户有明确联系的域名，或者只是，再次，错误配置，你拥有可被子域接管的子域。因此，因为我们已经到了获得很多新客户的地步，我们查看了这一点，并说：“好吧，让我们优先考虑子域接管。”所以我们花了一些周期

尽快报告它，因为我们正在与另一个名为 Bug Bounty 的实体合作，对吧？你知道，有很多 Bug Bounty 组织也在努力帮助确保客户安全。因此，你知道，我们带来了成熟的、经过验证的发现。我们有，你知道，质量保证检查，其中有很多

不是很多官僚主义，但有很多检查以确保你获得的一切仍然是 Bishop Fox 的标准。而对于漏洞赏金计划，并不总是这样，对吧？它可能是五个人只是试图获得第一个报告，所以他们不被认为是重复的。这就是我们推动自动化方法的方式。它是

好吧，我们可以淘汰哪些低权重的事情？然后通过客户生命周期？哪些高影响力的事情占用了太多时间，实际上并不需要存在，对吧？如果我可以编写一个可以出去验证此漏洞的脚本，我是否需要查看它？或者我可以将我的创造力用于其他地方吗？这就是我们总是试图依赖的，这是一个创造性的漏洞利用，还是仅仅是某些东西

经过足够的时间和重复，我们可以训练并构建一个足够好的工具来告诉客户，以便他们可以修复它。所以是的，我认为对于听众来说，子域接管非常有趣，而且鉴于最近关于总部位于新加坡的一家名为 Watchtower 的公司能够接管 .mobi、Whois 记录（我相信）公司的一些新闻，也与时俱进。

你能详细说明为什么子域接管对 Cosmos 的关注如此重要吗？那甚至意味着什么？如果生效，人们可以做什么？是的，这不是第一顺序。这是二阶效应，对吧？你知道，如果我托管了一些东西，clients.example.com，然后由于某种原因，我错误配置了或应用程序，比如我使用的托管提供商失效了，

clients.example.com 反而被其他人劫持或接管。它现在可以成为一个网络钓鱼角度，或者，你知道，一种从试图登录的客户那里收集凭据的方式。所以这很糟糕，你知道，它会伤害客户，比如它会伤害我们的客户，比如公众形象，并确保我们保护客户的客户安全，对吧？我们试图从这个角度来处理它。

但是当我们谈到子域接管时，子域更容易受到攻击的原因是什么？或者说，如果你有权访问域的 DNS，那么你可以创建你选择的任何子域。所以我们是在谈论有效地接管域名和子域，还是它是什么样的？这是一个很好的说明。

两者都是，对吧？比如，Azure 子域接管，你将无法接管指向 Azure 的域名。但是，如果他们错误配置了他们的 Azure 实例，那么这是可能的，对吧？鉴于你在执行 dig 时会出现正确的内容，你可以调查，好吧，这是脆弱的，因为……

他们的配置。然后你可以通过 API 网关进行工作来接管它，对吧？还有其他应用程序，你出去，它是你托管的第三方。如果第三方存在漏洞或你没有完成设置，

Shopify 就是一个很好的例子，对吧？如果你没有完成 Shopify 设置，你就可以进入那里并将其抢走。现在这是你的子域。恭喜。所以有很多例子，它们涵盖了，是的，它们更难，因为你实际上需要域名。这就是为什么我们还会报告，嘿，这个域名正在出售，对吧？它曾经属于你。这很有意义，要么你

明确表示它不再属于你，要么你出去购买它只是为了防御。有一种进攻性安全子集称为品牌保护。我的团队不做这件事，但我们的客户会问我们，我们会尽力提供帮助。但由于它更侧重于防御，我们不做。但我们可以说，嘿，你知道，常见的事情是错别字、抢注、少一个字符，这些问题。是的，这是一个很好的解释方法。

介绍 Hyte，唯一一款自主项目管理工具。积压工作整理、错误分类、保持文档最新。这些都不是你从事产品构建的原因，对吧？Hyte 会为你处理所有这些繁琐的工作。Hyte 使用首创的 AI 方法，主动处理耗时的工作流程，而无需你动手。Hyte 识别到你已同意缩减范围，并负责将必要的编辑映射回你的产品简介。

当新的工单添加到你的积压工作中时，Hype 会仔细检查它们，添加功能标签、时间估计等等。这不仅仅是你。你的团队中的每个人都管理项目，跟踪更新、确定工作范围、平衡优先级。但是，你的产品是否成功不应该取决于项目管理。使用 Hype，自主工作流程会处理那些单调乏味的工作，以便你的团队可以专注于构建优秀的产品。如果你准备停止管理项目，那么是时候使用 Hype 了。

加入新时代的产品构建，让项目自行管理。访问 height.app/SEDaily 开始使用。所以当我们考虑时，你知道，你提到拥有企业客户，是的，如果你访问 bishopfox.com，你可以在那里看到很多名称。当涉及到攻击面如此大的公司时，你如何处理这个问题，你知道，你可能想提出任何你可以提出的例子，或者只是在高层次上谈谈行业方法。

我处理过一个攻击面，但我认为这可能是一个相当小公司的攻击面。我认为我处理过的最大的可能是新加坡航空公司。它很大，但我不会说我认为对于你处理的案例来说，它会被定义为实际上很大。我们确实发现了一些有趣的事情，例如

大量的暂存站点等等。正如你所说，这并不重要，但是，有很多事情你会说，看，如果有人正在寻找尽可能多的信息来试图伪装成新加坡航空公司，那么他们现在有很多资源。所以你可能只想把它锁起来。所以是的。告诉我一些你最大的攻击面，以及实际上是什么，因为我认为 Bishop Fox 谈到了针和干草堆，你知道，我们找到了针，而不是干草堆。

我认为在企业中，一些针是什么？是的，这是一个很好的问题。你知道，我们最大的攻击面是六到七位数的目标，对吧？所以这是一个方案、IP 或域名，然后是一个端口，对吧？所以在 example.com 上的 HTTP，然后在 443 上的 example.com 上的 HTTPS，这将是两个目标。但是我们将其作为一个整体来看待，因为我们已经通过

调查和我们所做的报告发现，端口 80 和 443 可能会提供不同的信息。因此，我们希望对它们中的每一个都采取这种独特的方法。我们找到干草堆中的针的方法可以追溯到我的分析师团队。

所以他们负责识别攻击面，对吧？所以我们首先进行广度优先搜索，然后进行深度优先搜索。我们从客户 A 的广度开始，它有很多子公司。所以让我们出去识别每一个。如果它是一家美国公司，我们会使用像 SEC 文件之类的工具。如果不是，我们会研究，好吧，德国是如何为客户拥有不同公司进行备案的？

所以这里有很多有趣的调查工作，以弄清楚这个拥有服务的客户实际上还有 10 家其他公司。所以我们采用这种迭代方法，直到我们达到这样的程度，好吧，我们已经识别了他们拥有的所有主要公司，这些公司都有一个域名。从那里开始，我们开始使用反向 Whois 信息来弄清楚，好吧，这家公司……

通常使用这些电子邮件地址，或者他们将此作为他们的组织名称或技术名称，并且我们能够通过

当前信息以及历史信息来弄清楚，好吧，他们是否拥有这些域名？然后他们保护了他们的隐私。我们将把这些内容纳入进来，并与客户进行对话，说，我们找到了这些，它们仍然有效吗？因为它们是私有的，如果它们不是你的，我们不想包含它们。但如果它们是你的，我们确实想包含它们。所以我们试图采用这种整体方法，你知道，我们称之为基于域的调查，对吧？我们会出去

而且，是的，我们将涵盖您的 CIDR 块。我们将研究 ASN 文件，并确保我们正在获取 /24 或 /20 并将其引入平台。但我们真的想确保我们正在识别您的域名，因为这再次是互联网上大多数事物相互通信的方式。接下来，我们将使用许多不同的工具进行子域名枚举。网络安全社区在创建工具并将其发布方面毫不含糊。然后我们可以继续进行，弄清楚这是否有用。

这里面有没有什么好的、我们可以利用并改进的东西？在某些情况下，我们会回过头来做一个拉取请求来帮助社区。在其他情况下，例如，我们内部构建了很多东西，嘿，这非常有效。我们将为我们的服务做到这一点，回馈给我们的客户，以确保我们找到尽可能多的东西。我们让平台帮助进行可达性检查、解析检查。因此我们永远不会过早地切断目标，对吧？例如，我们给目标几次机会来进行验证，并成为我们关注的对象。

所以这是一个非常冗长的说法，我们做了很多准备工作来构建一个更少干草堆、更多针头的干草堆，对吧？就像我知道如果我在看什么东西，那绝对是他们的。然后从那里，我利用我的 T 团队。他们就像我的威胁赋能团队。

他们创建扫描引擎。他们创建，你知道，我们将要寻找那些威胁相关的因素。我们使用 CISA 已知可利用漏洞列表，对吧？这正是我们的驱动力之一，因为客户关心这一点，对吧？我可能不关心安全研究人员发现的这件事，对吧？

因为它可能不会出现。但我知道我的 C 层或我的高级管理人员会问到这些事情。因此，我们始终希望与客户合作，满足他们的需求，处理好这些基本问题。

然后我们可以开始着手处理，顺便说一句，这里有这个，这里有这个，这里有这个。我们继续以这种方式变得更好。所以它真的回到了，你知道，良好的攻击面发现，然后寻找正确的东西，这样当操作员拿起它时，他们就能保证找到针头。这很有道理。我的意思是，当涉及到，我想，持续……

这方面以及某种持续的，我几乎想把它比作主动与被动，从理论上讲，你能够像听起来那样持续地

了解攻击面，我想并将其与任何新声明的漏洞相匹配。这是如何运作的？我的意思是，一定有很多，我在这里只是用外行人的术语来说，但有很多过滤工作，你就像，我们昨天看过这个，所以我们今天不会再看了。或者，这是如何运作的？是的，当然。这是我们必须解决的最难的事情之一。

我们说，控制攻击面需要持续警惕，对吧？这需要一个完整的团队，对吧？我们通过我的威胁赋能团队来做到这一点。他们跟踪新兴威胁。因此，我们再次使用 CISA KEV。

来指导这一点。但我们也关注诸如微软补丁星期二之类的事件。他们报告的那些事情，可能还不是新闻文章，但一旦其他人开始研究，它就会成为新闻文章。然后你之前提到了 Watchtower。他们做了一些很棒的报告。因此，它是在整个网络安全领域寻找其他人正在进行哪些非常酷的研究。我知道 Bishop Fox，我们经常发布博客文章，例如，嘿，

我必须赞扬能力开发团队。他们很棒。他们总是在研究那些接下来的事情。因此，我们真的试图利用他们的发现以及其他研究人员发布的内容来弄清楚，即使没有概念证明和相应的漏洞利用，我们需要识别哪些版本？我们需要告诉客户哪些事情？这就是持续循环的来源。我们正在

不断寻找要引入的攻击面。我们正在扫描客户，以确保我们对他们的攻击面有正确的了解。因为如果我们每月只扫描一次，

那就是 30 天，任何事情都可能发生变化。因此，我们需要比这更频繁地扫描。我们需要确保我们了解版本控制的细微差别，以确保如果针对 5.2 版出现新兴威胁，我们不会向客户报告 5.1 或 4.8 版，对吧？因为这再次不是提供良好的服务。我们希望保持高信噪比。如果您收到有关新兴威胁的通知，那就是

嘿，这很重要。在您的周五开始之前尝试这样做，对吧？这很不幸，因为很多新兴威胁都在周五出现。这是一个经典的笑话。人就是人。人就是人，对吧？他们必须等到周五。但这就是我们处理它的方式，对吧？是的，有很多过滤。

随着 AI 和 LLM 成为现实，计算机擅长与其他计算机对话。因此，知道 CVE 出现并且具有 CVSS 分数，该分数表示这是本地权限提升。

我们可以使用 AI 来帮助。它可以是一个简单的正则表达式，但我们正在利用 LLM 来确保，好吧，为什么是“否”？这样，如果客户询问并给我们提供 2022 年的随机 CVE 字符串，

我们能够查看该字符串并说，嘿，你知道，我们不会涵盖它，因为这不是外部未经身份验证的。这是本地权限提升。因此，一旦他们已经在您的机器上，您才会关心这一点。这不是我们从外部大规模位置可以识别的东西。我认为提到了平台上的某种实时协作功能。我认为您刚才所说的大部分内容

客户需要参与，你知道，能够，你知道，因为我认为你在那里说的很多事情，我们知道这是你的，但也许像，你能澄清 X、Y、Z 吗？我，你知道，根据我的经验，我们过去在公司做过一次扫描，他们发现，你知道，一个 Notion 实例，其中，

与我们公司的名称相同，但它不是我们的。但他们绝对认为这是我们的。该平台确实让我能够说这不是我们的。我可以保证这一点。那么协作方面就是这样吗？是的。因此，我们的平台允许客户在我们参与或不参与的情况下这样做，对吧？他们能够通过平台看到他们的目标。我可以说，实际上那些东西，

它们不属于我们。我们可以不扫描这些东西，也不报告这些东西。但我们总是告诉我们的客户，嘿，我们最好是从知情的角度出发，对吧？如果您想充分利用这项服务，请积极参与，因为我们在这里。我们在这里帮助你。我们希望确保您的安全。做到这一点的最佳方法是开放式沟通。我们有一些客户带着交叉的胳膊走进来，说，嘿，我们不会帮助你。你自己解决，我们会继续提供价值。我们仍然会做得很好。但是那些与我们站在一起的客户，

他们能够说，这就是我们认为我们拥有的所有东西。你看到了什么？对。这始终是一个更好的对话，因为我们能够说，嘿，是的，我们找到了所有这些东西，但你错过了，你知道，你可能还不知道你拥有的这个部分或这个公司业务部门。但根据新闻和律师的说法，你确实拥有它。为什么有些客户，我的意思是，这是一种类比或不是类比，但你知道，带着交叉的胳膊走进来，为什么他们会有这种态度？安全已经存在一段时间了。对。而且

我认为我们现在正处于一个必须疯狂工作的阶段。

进攻性安全必须挽回一些好感，对吧？因为很容易走进来，打人一拳，然后说，嘿，去修复它，对吧？而且通常过去就是这样，对吧？因此，在业内工作时间足够长的人看来，就像，我不想给你任何东西，因为如果你找到了它，我会因此而惹上麻烦，对吧？但是，如果它是这样的，嘿，我们将找到它，我们将确保与您一起工作，它会更好，对吧？因此，我们调查生命周期的一部分始终

它应该始终以修复测试结束，对吧？你知道，我们将与您一起工作，直到修复为止。我认为这是我们与客户交谈时试图向他们强调的一件事。就像，嘿，

客户会未能通过重新测试，我们会向他们提供具体的失败原因。我们会与他们一起进行电话会议以提供帮助。也许不是故障排除，因为，你知道，我们不是开发人员，但我们能够用我们的思维方式来解决它，并帮助他们解决问题。因此，大多数带着交叉的胳膊走来的客户，最终，他们看到了价值，他们看到了我的团队以及他们有多么关心，我们克服了困难。

我认为这是一个非常好的说明。这只是，是的，你知道，在过去的日子里，渗透测试是由一个可能从未见过面的团队完成的。发生的一切就是某人办公桌上收到一份报告，上面写着大量的问题。坦率地说，他们只是想，为什么我们必须发现这些问题？我们可以吗？是的。这不能在下个月或明年发生吗？你知道，我快要离开了。现在这将成为下一个人的问题。没错。我认为正如你所说的那样，它就是。

Bishop Fox 等服务可以提供的思维方式，即它是协作性的，例如

端到端，如果安全合作伙伴是正确的安全合作伙伴，它应该是一个端到端的协作练习，并且显然保密性是其中非常重要的一部分，即你知道，看，我们将尽可能地与客户开放，但与此同时，我们必须相信，你知道，这会保留在我们关系的范围内，并且你知道，即使以前在安全公司工作，我们也有一家第三方安全公司

来审核我们。你知道，就是这样，但你显然必须信任，你知道，如果一家公司正在审核另一家安全公司，你必须真正信任这一点。所以我认为这是一个非常好的说明。因此，我感兴趣的一件事是在行业内，这并不是什么秘密，这是一项非常紧张的工作，就像任何与安全、查找漏洞或帮助修复相关的事情一样。你会说 Bishop Fox 引入 Cosmos 是否已经让

我不是说这是一个压力很大的环境，尤其是在 Bishop Fox，而是在整个行业。Cosmos 是否让它成为一种更易于管理的职业，我想？我认为简短的答案是肯定的，对吧？冗长的答案总是取决于情况。当您获得超大型客户的攻击面时，您会看到工作量。

存在，对吧？我们称之为我们的积压工作，对吧？这是指代事物的一种相当常见的名称。但是要确保，始终存在这种额外的压力，即我们是否优先处理了我们看到的所有漏洞？因为归根结底，因为我们不是扫描程序，我们不是完全自动化的，我们希望保持这个标准来告诉客户去修复某些东西，我们想去看一看。存在积压的工作。因此，这是对未知的压力，例如，

我认为我们优先处理所有这些。我知道我们正在处理我们认为最重要的事情。但是如果，你知道，存在这个随机的分支，并且实际上存在一个可能被隐藏为低级别的关键漏洞。而且，你知道，我们处理这个问题的方法是，好吧，让我们从各个方面来解决它，对吧？我的操作员团队首先处理优先级。但我们也关注诸如，好吧，我们最古老的漏洞是什么？

潜在标志。例如，那里最古老的东西是什么？让我们确保我们保持一致，并且不要让事情变得太久。因为最糟糕的事情是某些东西很脆弱。那里有密码，然后他们意外地将其删除，但这些密码没有被轮换，对吧？这仍然很糟糕。因此，我们希望确保我们从两个角度来解决它。因此，这有助于在晚上减轻压力，因为知道

如果它不是最重要的事情，我们将在后端获得它，然后我们将能够告诉客户，嘿，我们很久以前就发现了这一点，但由于优先级阈值，我们还没有发现它，但现在我们发现了。现在我们可以一起努力确保对其进行修复，并且我们能够向客户提供这些时间戳，例如，嘿，如果您真的那么担心，您可以启动 IR，即事件响应，并确保没有人抢在我们前面。但这就是我们关注的一点，当我们实现远程代码执行时，我们正在查看

有没有其他人抢在我们前面？因为这非常重要，因为它有助于为客户构建风险图景，但也带来了业务影响，对吧？如果我正在投放一个将文件放在磁盘上的漏洞利用程序，而我到达那里时有 20 个其他文件，那么，嘿，你明天需要修复它。这就是我们处理它的方式。是的，它仍然很紧张，但我认为知道我们正在尽我们所能以最佳方式来处理它，这会更容易管理。在传统的咨询工作中，您

您进行扫描，然后您需要弄清楚什么看起来最重要。因为我们正在利用，你知道，五年多的时间和许多操作员和分析师的投入，我们能够说，我们相信作为一项服务，我们正在关注最重要的事情。因此，这减轻了个人身上的压力，并将压力真正放在了领导者的肩上，以确保我们做出了正确的选择。是的，这并不是说托尼·斯塔克因为穿着钢铁侠套装就不紧张了。没错。我喜欢这个。

我认为这是一个很好的说明。我的意思是，技术会有所帮助。同时，正如你所说的那样，现在几乎拥有这种 X 射线视觉，这可能会导致更多地考虑优先级等问题。这可能会导致不同的，这可能只是一个不同的压力点。继续进行，只是为了

在我询问一些未来的事情、法规和诸如 SOC 2 之类的事情之前，SOC 2 已经变得如此，我敢说，流行。您有像 Vanta 这样的公司，从理论上讲，我不会说获得 SOC 2 很容易，但他们肯定大大简化了流程。

这如何影响 Bishop Fox？这是否成为业务的强大驱动力，或者这实际上更像是一个问题，需要考虑如何使 Cosmos 符合法规驱动因素，或者这如何演变？是的，这是一个非常好的问题。业务驱动力。我不知道我是否能谈论这个。这可能更多的是，你知道，我的销售团队对这是否推动他们

帮助符合 SOC 2 标准的客户的看法。我知道对我们来说，为了确保 Cosmos 平台以及所有操作员、分析师和工程师，我们正在做正确的事情，所做的工作。我知道那对我们来说就像确保

你知道，俗话说，就像，每个人都在飞行时建造飞机。但我认为 SOC 2，它迫使你弄清楚，嘿，这些是非谈判条件，我们如何确保我们做对了这些事情，以便我们可以继续飞行并做正确的事情。我不知道这是否完全回答了你的问题，但这就是我对它的看法，只是我对参与这项工作有限的互动。是的，当然。因此，我认为内部方面非常有趣，因为再次，

也许对于非安全行业的人来说并不总是很清楚，仅仅因为您是一家安全公司并不自动意味着您拥有，你知道，吸收到或其他什么。你仍然应该去看看并检查一下。这是正确的。有很多文书工作、很多采访，很多确保我们遵循最佳实践的工作。是的，没错。我想我还想知道，让我们假设是现有客户，而不是与推动新业务相关的任何事情，而是与现有客户一起，您是否会收到有关

与，好吧，如果我们不修复这个问题，这是否会使我们不符合 SOC 2 标准？或者，您是否会收到这些问题？或者这实际上会转到，我想，这会转到 Vanta 或其他什么地方？我认为这些问题是由客户内部的基础设施和 IT 团队驱动的。你知道，我们能够说这是一个问题，而且，你知道，你遇到了问题

PII 或 PHI 暴露。因此，对我来说，这意味着你已经失败了，你必须去修复它。其中一些是他们根本没有意识到它存在。我们当前或历史上没有任何客户询问过，“嘿，这个漏洞，这个发现会影响我们的 SOC 2 合规性吗？”相反，它就像，“嘿，我们如何帮助保护客户的数据？”

是的。好的。很有道理。因此，只是为了，我想，展望未来，您能分享一些关于 Cosmos 将走向何方的情况吗？例如，当我说新功能时，我想客户会看到诸如他们具有减号设置、他们具有与其交互的 UI 之类的新功能。但我认为，很多，我想开发更像是幕后进行的，您实际向客户公开的内容是……

它可能并不总是看起来很新，但您能分享一些关于这方面的信息吗？是的，这是一个非常好的问题，因为我们正处于从旧的 Cosmos 平台迁移的边缘，该平台已将我们带到了现在的位置，使我们达到了现在的位置。它很成功。它能够生成我的团队可以获取的信息。我们处理案例。我们做这项工作，并将其报告给客户。一旦我们进入 Cosmos 演变的下一阶段，

将会有更多针对客户自助服务的推动，以便他们可以出去获取我的团队发现的数据，并以不同的方式对其进行剖析和查看，以有意义的方式，他们能够确定置信度值或为什么此资产存在于他们的端点中。例如，为什么你要向我展示这个？所有这些置信度信息都将随时提供给客户，以便他们可以自助服务并弄清楚，哦，我要这样做。

你知道，这个子公司，他们让每个人都太容易出去找到我们的资产了。我们还将，这有点像两个关于报告的答案，对吧？因此，Cosmos 是一种门户和服务以及所有参与其中的内容。然后我们有不同的服务线。我们的 Chasm，这是启动这一切的东西，是我们持续的攻击面管理。这将继续发展和改进。就像我之前说的，我们历史上专注于网络应用程序，

和 FTP 和 SSH。我们将继续发展该方案以及我们不仅通过门户向客户展示的内容列表，而且我们实际上还提供调查，对吧？嘿，您有一个匿名登录此服务，您绝对应该关闭它，对吧？我们对 FTP 执行此操作。我们对其他登录执行此操作，但要确保我们继续发展它，以便 Cosmos Chasm 服务成为，从威胁感知的角度来看，这里的一切。

我们最近刚刚推出了我们的 Cosmos 应用程序渗透测试。我们称之为 CAPT。这是通过一些前期测试交付的 Web 应用程序渗透测试，类似于咨询工作。但他们会通过合同的整个生命周期继续测试这些资产，寻找诸如特定于框架的新兴威胁之类的东西，并进行尾部测试，以确保，嘿，自我们上次大力攻击此应用程序以来，有什么变化吗？

这就是我们的 Chasm、我们的 cat。然后我们有一个 Cosmos 外部渗透测试。这旨在成为一个时间点外部渗透测试，你知道，类似于咨询，但通过我们的 Cosmos 平台交付，我们利用我的 Chasm 分析师团队发现的所有内容并将其用作范围。因此，你知道，Cosmos 的未来将继续由运营主导的发现和

依靠客户与我们合作并提供反馈，但继续发展和改进我们寻找的内容、我们报告的内容。然后，借助 AI 和 LLM，那里有一个全新的世界，如何更快地发现事物？如何帮助快速浏览 SEC 文件，以便您可以更快地生成该子公司列表？

更快地获得更高的置信度。是的，我认为我们没有时间深入探讨，我想，今天可以使用 ALM 和 AI 做些什么。但我认为你今天已经提到过几次了，这是一个很好的说明，它实际上是用 ALM 查找替换了诸如正则表达式之类的东西。现在，显然，从成本角度来看，

这很昂贵，但与此同时，在许多领域，这将提供更清晰的数据，并且能够比正则表达式更快地有效地做出反应。因此，对于你们考虑集成这些方面来说，一定是一个非常激动人心的时刻。百分之百，是的。我非常期待。然后，你知道，我会遗漏地说，随着我们的不断发展，我认为新兴威胁将继续让我们与众不同，并将持续的渗透测试与众不同。

您如何保持最新状态并了解威胁行为者在做什么？不仅是我们知道有效的旧事物，还有新的漏洞和通过白帽安全研究人员或，你知道，政府破坏的 APT 出现的新事物。现在，该 TTP，你知道，该策略或技术现在可用。您如何利用它来确保客户的安全？我认为这在我们继续发展壮大的过程中将非常重要。

当然。在我们结束时，我有时会问你两个或一个问题，回到你自己的身上，马克。那么，你现在知道什么，你希望在刚进入这个行业时就告诉自己呢？哦，伙计，这很难。你知道，这很难，因为我是在很多年前作为一名军官开始的，我

我们接受过领导和思考的训练，方式与众不同。其中很多对我有好处，但了解技术并能够与我一生中遇到的一些最聪明的人一起工作也很重要。因此，你知道，15 年前我会告诉自己的事情是，接受这种艰苦的训练，并知道这是值得的。因为根据我的经验，那些个人贡献者会比

如果他们能够说他们的语言并理解他们试图解决的问题集。我过去有很多领导和管理人员，因为他们不了解困难，所以会过度简化问题集。我认为这是领导者需要注意的事情。然后，你知道，对于个人贡献者来说，继续接受困难的事情，因为那是你学习最多的地方。好的。

我喜欢这个。我真的很喜欢这个。我绝对可以认同没有经历过任何，我想，军事背景，但我所在的公司是由美国军方人员创立的。我认为正是这种相互理解才能推动事情顺利发展。你知道，我没有军事背景，但我了解在那里学到了很多东西。与此同时，我来自技术背景。

我希望在这方面也学到了很多东西，我认为这种协作、这种结合是使这项工作如此有效的原因，所以这是一个很好的说明，马克，非常感谢你今天晚上在北卡罗来纳州抽出时间，我真的很感激是的，先生，再次感谢你邀请我，伙计，这太棒了是的，非常感谢，我们很快就会再联系，我希望是的，先生，谢谢