最大化滲透測試效果的5個關鍵點
2017年09月12日
所有CISO都至少知道一起滲透測試失敗的案例��。其中很多人能舉出幾起失敗得很徹底的案例。因此���,在管理此類事務過程中采納最佳實踐,就是很值得考慮的做法了����。鑒于滲透測試在典型風險管理中所占的重要角色,這對現(xiàn)代企業(yè)安全團隊來說十分重要���。
以下建議��,出自不同設置���、不同環(huán)境和不同產業(yè)的滲透測試經驗。每一條建議�,都可以幫助安全團隊充分利用測試的價值,同時減小出錯的概率�。
當你考慮涉及到攻擊自身資產的滲透測試時,恰當?shù)墓芾黻P注力就變得十分緊迫了����。
關鍵點1:與滲透測試團隊建立緊密關系
滲透測試員被賦予了對公司系統(tǒng)和基礎設施的特別權限,他們會對公司特定弱點有著獨特的理解和洞見��。與測試團隊人員,尤其是外部顧問們�,發(fā)展一種信任關系,是最小化此敏感信息和知識不恰當處理風險的極佳方式���。
關鍵點2:掌握滲透測試過程細節(jié)
對滲透測試細節(jié)一無所知�,是監(jiān)督團隊失職或缺乏技術背景的癥狀����。花點時間去了解滲透測試涉及的工具����、技術、過程和發(fā)現(xiàn)��,你會發(fā)現(xiàn)自己將測試結果轉化為有意義行動的能力和洞見���,都大幅提升了����。
關鍵點3:為滲透測試員劃定明確的邊界條件
滲透測試的本質�,涉及在目標系統(tǒng)中查找非預期功能或條件的創(chuàng)新性探索。除非測試員理解明確的邊界(比如不能在任何生產系統(tǒng)中執(zhí)行拒絕服務攻擊),否則就存在他們撈過界的可能性�����。安全經理有責任確保這一情況不出現(xiàn)�。
關鍵點4:用滲透測試呈現(xiàn)漏洞
獲得拒絕承認良好安全重要性的業(yè)務部門或經理關注的一個強力技術,就是暴露出與他們的系統(tǒng)或應用直接關聯(lián)的漏洞���。面對漏洞的明顯證據(jù),很多團隊都會馬上重視起安全�,更平滑地參與到需要他們協(xié)作的工作中。
關鍵點5:千萬別用滲透測試來證明沒有漏洞
或許�,滲透測試活動負責人會犯的最嚴重的錯誤,就是將對滲透測試所發(fā)現(xiàn)漏洞的修復�,錯誤理解為清除掉了所有的漏洞。就像所有的測試一樣�,滲透測試在呈現(xiàn)失誤上非常棒,但卻是證明不存在失誤的糟糕方法����。千萬別把對滲透測試找出的某些漏洞的修復,混淆成了安全��。這是要盡力避免的一種低級錯誤��。
轉載自:http://netsecurity.51cto.com/art/201709/551256.htm
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設��、動漫設計����、軟件研發(fā)、數(shù)據(jù)中心領域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型�����,從“人員素養(yǎng)”����、“制度流程”、“技術產品”三個視角提供全面����、可信的方案,業(yè)務涵蓋咨詢��、評估�、規(guī)劃、管控�����、建設、培訓等�����。
