取消
清空記錄
歷史記錄
清空記錄
歷史記錄
滲透測試對于網(wǎng)絡(luò)安全檢測十分重要,但是你之前都做對了嗎?其實(shí)滲透測試中常常會出現(xiàn)八種錯(cuò)誤姿勢,你是否有注意呢?
01未排序風(fēng)險(xiǎn)優(yōu)先級
提升安全狀態(tài)的要?jiǎng)?wù)之一,就是建立風(fēng)險(xiǎn)基線。必須識別出大風(fēng)險(xiǎn)在哪兒。此信息是確立滲透測試目標(biāo)的基礎(chǔ)。滲透測試總得有個(gè)目標(biāo),無論是客戶數(shù)據(jù)、知識產(chǎn)權(quán),還是公司財(cái)務(wù)數(shù)據(jù)。排序風(fēng)險(xiǎn)可以幫助公司將安全工作聚焦到能產(chǎn)生大價(jià)值的地方。
考慮公司可能面臨的壞情況,然后圍繞此壞情況設(shè)置滲透測試目標(biāo)。發(fā)現(xiàn)次要潛在問題可能很容易,但那會分散你對真正重要問題的注意力。
02使用錯(cuò)誤的工具
滲透測試工具多如牛毛,但知道哪種工具該用在哪里,清楚這些工具的正確配置方法,卻需要大量的專業(yè)知識。如果你覺得可以買現(xiàn)成的滲透測試工具,交由內(nèi)部 IT 團(tuán)隊(duì)執(zhí)行,那你可能會面臨重大的打擊。除非你有極具經(jīng)驗(yàn)的內(nèi)部紅隊(duì),否則你應(yīng)該引入具備真正專業(yè)技能的第三方。
滲透測試員可能身價(jià)很高,你或許會短期聘用他們,所以,自動化工具值得考慮。自動化滲透測試平臺是驗(yàn)證公司防御,賦予公司一定持續(xù)防護(hù)的良好方式。謹(jǐn)慎選擇,并向你的第三方滲透測試合作伙伴尋求建議。
03糟糕的報(bào)告
如果第三方滲透測試員的報(bào)告不具備可讀性,就很難理解他們發(fā)現(xiàn)的漏洞,更別提了解這些漏洞對公司的潛在影響了。滲透測試報(bào)告應(yīng)清晰闡述問題所在,表明不修復(fù)的潛在后果,并提出具體的修復(fù)方法。
沒有清晰目標(biāo)就開始測試,會對報(bào)告階段產(chǎn)生不利影響,因?yàn)檫@么做很難識別出威脅戰(zhàn)略性資產(chǎn)的真正關(guān)鍵攻擊途徑。良好報(bào)告應(yīng)濾掉噪音和誤報(bào),突出對公司而言真正重要的東西。沒有任何方向,大包大攬地堆出幾千個(gè)漏洞的第三方或自動化工具就別引入了,面面俱到是不可能的。所以,確保你有重點(diǎn)突出的可執(zhí)行計(jì)劃,有明確的需要修復(fù)的漏洞列表。
04照單劃勾
如果你的滲透測試員在測試中抱有照單劃勾的思想,那你很可能就會漏掉一些東西。盡管合規(guī)很重要,但這并不是你執(zhí)行滲透測試的單一原因。專注于勾掉項(xiàng)目會讓你陷入一種虛假的安全感。網(wǎng)絡(luò)罪犯可不是照著檢查清單來執(zhí)行攻擊的。
05干擾業(yè)務(wù)
合理規(guī)劃滲透測試,考慮對重要業(yè)務(wù)系統(tǒng)的潛在影響。成功的黑客常在不干擾服務(wù)的情況下利用漏洞,你聘用的滲透測試員也應(yīng)如此。如果測試在生產(chǎn)環(huán)境中執(zhí)行,一定要明確這一點(diǎn)。黑盒測試場景,指的是滲透測試員不了解你基礎(chǔ)設(shè)施的情況。這種情況下,滲透測試對業(yè)務(wù)產(chǎn)生干擾的風(fēng)險(xiǎn)更大。
06使用過時(shí)技術(shù)
不與時(shí)俱進(jìn)的滲透測試計(jì)劃,很快就會毫無用處。新技術(shù)、新工具、新漏洞層出不窮。你得緊跟新發(fā)展,并持續(xù)更新你的方法。專業(yè)的滲透測試合作伙伴會在他們的策略中融入較新的黑客技術(shù)。
07不常做滲透測試
盡管年度滲透測試可能比較常見,但這并不能為你帶來安寧。不常做的測試只能交出測試執(zhí)行當(dāng)時(shí)的防御情況。你得持續(xù)檢測你的防御并反復(fù)測試,才能確保暴露出來的漏洞被恰當(dāng)修復(fù)了。這是自動化滲透測試平臺如此有效的又一個(gè)原因。
08沒能修復(fù)
確保滲透測試合作伙伴和自動化工具產(chǎn)生的報(bào)告有專人負(fù)責(zé)解讀和響應(yīng)。你必須排序所發(fā)現(xiàn)的問題,并及時(shí)著手解決。損失慘重的數(shù)據(jù)盜竊往往是公司企業(yè)未處理已知漏洞的結(jié)果。確保已發(fā)現(xiàn)漏洞得到妥善解決,應(yīng)成為滲透測試的組成部分之一。
避免以上8種錯(cuò)誤姿勢,正確維護(hù)網(wǎng)絡(luò)安全。上海觀初網(wǎng)絡(luò)科技有限公司專注于為企業(yè)提供信息安全解決方案的技術(shù)服務(wù)公司。關(guān)注我們帶你了解更多信息安全知識。
相關(guān)新聞