最大化滲透測試效果的5個(gè)關(guān)鍵點(diǎn)
2017年09月12日
所有CISO都至少知道一起滲透測試失敗的案例����。其中很多人能舉出幾起失敗得很徹底的案例。因此�����,在管理此類事務(wù)過程中采納最佳實(shí)踐,就是很值得考慮的做法了�。鑒于滲透測試在典型風(fēng)險(xiǎn)管理中所占的重要角色,這對現(xiàn)代企業(yè)安全團(tuán)隊(duì)來說十分重要���。
以下建議��,出自不同設(shè)置��、不同環(huán)境和不同產(chǎn)業(yè)的滲透測試經(jīng)驗(yàn)。每一條建議��,都可以幫助安全團(tuán)隊(duì)充分利用測試的價(jià)值��,同時(shí)減小出錯(cuò)的概率����。
當(dāng)你考慮涉及到攻擊自身資產(chǎn)的滲透測試時(shí),恰當(dāng)?shù)墓芾黻P(guān)注力就變得十分緊迫了���。
關(guān)鍵點(diǎn)1:與滲透測試團(tuán)隊(duì)建立緊密關(guān)系
滲透測試員被賦予了對公司系統(tǒng)和基礎(chǔ)設(shè)施的特別權(quán)限�,他們會(huì)對公司特定弱點(diǎn)有著獨(dú)特的理解和洞見����。與測試團(tuán)隊(duì)人員��,尤其是外部顧問們�,發(fā)展一種信任關(guān)系���,是最小化此敏感信息和知識(shí)不恰當(dāng)處理風(fēng)險(xiǎn)的極佳方式�����。
關(guān)鍵點(diǎn)2:掌握滲透測試過程細(xì)節(jié)
對滲透測試細(xì)節(jié)一無所知���,是監(jiān)督團(tuán)隊(duì)失職或缺乏技術(shù)背景的癥狀?����;c(diǎn)時(shí)間去了解滲透測試涉及的工具���、技術(shù)���、過程和發(fā)現(xiàn),你會(huì)發(fā)現(xiàn)自己將測試結(jié)果轉(zhuǎn)化為有意義行動(dòng)的能力和洞見���,都大幅提升了�����。
關(guān)鍵點(diǎn)3:為滲透測試員劃定明確的邊界條件
滲透測試的本質(zhì)��,涉及在目標(biāo)系統(tǒng)中查找非預(yù)期功能或條件的創(chuàng)新性探索���。除非測試員理解明確的邊界(比如不能在任何生產(chǎn)系統(tǒng)中執(zhí)行拒絕服務(wù)攻擊)���,否則就存在他們撈過界的可能性。安全經(jīng)理有責(zé)任確保這一情況不出現(xiàn)��。
關(guān)鍵點(diǎn)4:用滲透測試呈現(xiàn)漏洞
獲得拒絕承認(rèn)良好安全重要性的業(yè)務(wù)部門或經(jīng)理關(guān)注的一個(gè)強(qiáng)力技術(shù)�����,就是暴露出與他們的系統(tǒng)或應(yīng)用直接關(guān)聯(lián)的漏洞���。面對漏洞的明顯證據(jù),很多團(tuán)隊(duì)都會(huì)馬上重視起安全����,更平滑地參與到需要他們協(xié)作的工作中。
關(guān)鍵點(diǎn)5:千萬別用滲透測試來證明沒有漏洞
或許,滲透測試活動(dòng)負(fù)責(zé)人會(huì)犯的最嚴(yán)重的錯(cuò)誤��,就是將對滲透測試所發(fā)現(xiàn)漏洞的修復(fù)�,錯(cuò)誤理解為清除掉了所有的漏洞。就像所有的測試一樣���,滲透測試在呈現(xiàn)失誤上非常棒����,但卻是證明不存在失誤的糟糕方法���。千萬別把對滲透測試找出的某些漏洞的修復(fù)���,混淆成了安全。這是要盡力避免的一種低級(jí)錯(cuò)誤��。
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201709/551256.htm
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全����、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)���、軟件研發(fā)��、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”����、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面��、可信的方案�����,業(yè)務(wù)涵蓋咨詢�����、評估���、規(guī)劃、管控��、建設(shè)�、培訓(xùn)等���。
