取消
清空記錄
曆史記錄
清空記錄
曆史記錄
滲透測試對于網絡安全檢測十分重要,但是你之前都做(zuò)對了嗎?其實滲透測試中常常會出現八種錯誤姿勢,你是否有注意呢(ne)?
01未排序風險優先級
提升安全狀态的(de)要務之一(yī),就是建立風險基線。必須識别出大風險在哪兒。此信息是确立滲透測試目标的(de)基礎。滲透測試總得有個目标,無論是客戶數據、知識産權,還是公司财務數據。排序風險可(kě)以幫助公司将安全工作聚焦到能産生大價值的(de)地(dì)方。
考慮公司可(kě)能面臨的(de)壞情況,然後圍繞此壞情況設置滲透測試目标。發現次要潛在問題可(kě)能很容易,但那會分散你對真正重要問題的(de)注意力。
02使用錯誤的(de)工具
滲透測試工具多如(rú)牛毛,但知道(dào)哪種工具該用在哪裏,清楚這些工具的(de)正确配置方法,卻需要大量的(de)專業知識。如(rú)果你覺得可(kě)以買現成的(de)滲透測試工具,交由內(nèi)部 IT 團隊執行,那你可(kě)能會面臨重大的(de)打擊。除非你有極具經驗的(de)內(nèi)部紅(hóng)隊,否則你應該引入具備真正專業技能的(de)第三方。
滲透測試員可(kě)能身價很高(gāo),你或許會短(duǎn)期聘用他們,所以,自(zì)動化工具值得考慮。自(zì)動化滲透測試平台是驗證公司防禦,賦予公司一(yī)定持續防護的(de)良好方式。謹慎選擇,并向你的(de)第三方滲透測試合作夥伴尋求建議。
03糟糕的(de)報告
如(rú)果第三方滲透測試員的(de)報告不具備可(kě)讀性,就很難理(lǐ)解他們發現的(de)漏洞,更别提了解這些漏洞對公司的(de)潛在影響了。滲透測試報告應清晰闡述問題所在,表明不修複的(de)潛在後果,并提出具體的(de)修複方法。
沒有清晰目标就開始測試,會對報告階段産生不利影響,因為(wèi)這麽做(zuò)很難識别出威脅戰略性資産的(de)真正關鍵攻擊途徑。良好報告應濾掉噪音和(hé)誤報,突出對公司而言真正重要的(de)東西。沒有任何方向,大包大攬地(dì)堆出幾千個漏洞的(de)第三方或自(zì)動化工具就别引入了,面面俱到是不可(kě)能的(de)。所以,确保你有重點突出的(de)可(kě)執行計劃,有明确的(de)需要修複的(de)漏洞列表。
04照單劃勾
如(rú)果你的(de)滲透測試員在測試中抱有照單劃勾的(de)思想,那你很可(kě)能就會漏掉一(yī)些東西。盡管合規很重要,但這并不是你執行滲透測試的(de)單一(yī)原因。專注于勾掉項目會讓你陷入一(yī)種虛假的(de)安全感。網絡罪犯可(kě)不是照着檢查清單來執行攻擊的(de)。
05幹擾業務
合理(lǐ)規劃滲透測試,考慮對重要業務系統的(de)潛在影響。成功的(de)黑客常在不幹擾服務的(de)情況下利用漏洞,你聘用的(de)滲透測試員也應如(rú)此。如(rú)果測試在生産環境中執行,一(yī)定要明确這一(yī)點。黑盒測試場景,指的(de)是滲透測試員不了解你基礎設施的(de)情況。這種情況下,滲透測試對業務産生幹擾的(de)風險更大。
06使用過時技術
不與時俱進的(de)滲透測試計劃,很快就會毫無用處。新技術、新工具、新漏洞層出不窮。你得緊跟新發展,并持續更新你的(de)方法。專業的(de)滲透測試合作夥伴會在他們的(de)策略中融入較新的(de)黑客技術。
07不常做(zuò)滲透測試
盡管年(nián)度滲透測試可(kě)能比較常見,但這并不能為(wèi)你帶來安甯。不常做(zuò)的(de)測試隻能交出測試執行當時的(de)防禦情況。你得持續檢測你的(de)防禦并反複測試,才能确保暴露出來的(de)漏洞被恰當修複了。這是自(zì)動化滲透測試平台如(rú)此有效的(de)又一(yī)個原因。
08沒能修複
确保滲透測試合作夥伴和(hé)自(zì)動化工具産生的(de)報告有專人負責解讀和(hé)響應。你必須排序所發現的(de)問題,并及時着手解決。損失慘重的(de)數據盜竊往往是公司企業未處理(lǐ)已知漏洞的(de)結果。确保已發現漏洞得到妥善解決,應成為(wèi)滲透測試的(de)組成部分之一(yī)。
避免以上8種錯誤姿勢,正确維護網絡安全。上海觀初網絡科技有限公司專注于為(wèi)企業提供信息安全解決方案的(de)技術服務公司。關注我們帶你了解更多信息安全知識。
相關新聞