滲透測試很重要,但你真的做對了嗎?我們不妨來看看滲透測試中常見的幾種錯誤,談談該如何避免這些錯誤�。
網(wǎng)站設計、成都網(wǎng)站制作的開發(fā)�,更需要了解用戶,從用戶角度來建設網(wǎng)站�,獲得較好的用戶體驗。創(chuàng)新互聯(lián)公司多年互聯(lián)網(wǎng)經(jīng)驗��,見的多��,溝通容易���、能幫助客戶提出的運營建議�。作為成都一家網(wǎng)絡公司�,打造的就是網(wǎng)站建設產(chǎn)品直銷的概念。選擇創(chuàng)新互聯(lián)公司�,不只是建站,我們把建站作為產(chǎn)品�����,不斷的更新、完善���,讓每位來訪用戶感受到浩方產(chǎn)品的價值服務�。
找出公司安全狀態(tài)中缺陷和弱點的最有效方式之一�,就是讓第三方對自身系統(tǒng)展開有計劃的攻擊。滲透測試旨在暴露出公司防御上的缺口��,以便公司能夠在被惡意人士利用之前堵上這些缺口�����。有多種類型的滲透測試可以針對公司的不同方面����。
網(wǎng)絡罪犯針對公司的潛在攻擊途徑很多,從網(wǎng)絡基礎設施到應用程序�����,再到設備和員工�。優(yōu)秀的滲透測試合作伙伴會以開放性思維看待問題,嘗試模擬惡意黑客�,探測弱點,并運用各種技術和工具以突破你的網(wǎng)絡。
盡管滲透測試被廣泛認為是一種必要的安全防護手段��,但卻需要周密計劃和專業(yè)執(zhí)行���。專業(yè)技能或經(jīng)驗的缺乏可導致不達標的滲透測試���,不能揭示漏洞,令公司依舊暴露在攻擊者火力范圍內��。
下面我們列出滲透測試中的幾種常見錯誤姿勢����,并附上如何避免出錯的建議��。
1. 未排序風險優(yōu)先級
提升安全狀態(tài)的要務之一��,就是建立風險基線��。必須識別出最大風險在哪兒���。此信息是確立滲透測試目標的基礎���。滲透測試總得有個目標,無論是客戶數(shù)據(jù)�、知識產(chǎn)權���,還是公司財務數(shù)據(jù)。排序風險可以幫助公司將安全工作聚焦到能產(chǎn)生最大價值的地方�。
考慮公司可能面臨的最壞情況,然后圍繞此最壞情況設置滲透測試目標���。發(fā)現(xiàn)次要潛在問題可能很容易���,但那會分散你對真正重要問題的注意力。
2. 使用錯誤的工具
滲透測試工具多如牛毛�,但知道哪種工具該用在哪里,清楚這些工具的正確配置方法���,卻需要大量的專業(yè)知識�����。如果你覺得可以買現(xiàn)成的滲透測試工具��,交由內部 IT 團隊執(zhí)行����,那你可能會面臨重大的打擊。除非你有極具經(jīng)驗的內部紅隊�,否則你應該引入具備真正專業(yè)技能的第三方。
滲透測試員可能身價很高�,你或許會短期聘用他們,所以��,自動化工具值得考慮��。自動化滲透測試平臺是驗證公司防御�,賦予公司一定持續(xù)防護的良好方式。謹慎選擇���,并向你的第三方滲透測試合作伙伴尋求建議。
3. 糟糕的報告
如果第三方滲透測試員的報告不具備可讀性��,就很難理解他們發(fā)現(xiàn)的漏洞��,更別提了解這些漏洞對公司的潛在影響了�����。滲透測試報告應清晰闡述問題所在�,表明不修復的潛在后果,并提出具體的修復方法����。
沒有清晰目標就開始測試��,會對報告階段產(chǎn)生不利影響�����,因為這么做很難識別出威脅戰(zhàn)略性資產(chǎn)的真正關鍵攻擊途徑�。良好報告應濾掉噪音和誤報��,突出對公司而言真正重要的東西�����。沒有任何方向�,大包大攬地堆出幾千個漏洞的第三方或自動化工具就別引入了,面面俱到是不可能的�����。所以��,確保你有重點突出的可執(zhí)行計劃���,有明確的需要修復的漏洞列表�。
4. 照單劃勾
如果你的滲透測試員在測試中抱有照單劃勾的思想,那你很可能就會漏掉一些東西�。盡管合規(guī)很重要,但這并不是你執(zhí)行滲透測試的唯一原因�����。專注于勾掉項目會讓你陷入一種虛假的安全感���。網(wǎng)絡罪犯可不是照著檢查清單來執(zhí)行攻擊的����。
5. 干擾業(yè)務
合理規(guī)劃滲透測試����,考慮對重要業(yè)務系統(tǒng)的潛在影響。成功的黑客常在不干擾服務的情況下利用漏洞����,你聘用的滲透測試員也應如此��。如果測試在生產(chǎn)環(huán)境中執(zhí)行����,一定要明確這一點�。黑盒測試場景�,指的是滲透測試員不了解你基礎設施的情況。這種情況下�����,滲透測試對業(yè)務產(chǎn)生干擾的風險更大����。
6. 使用過時技術
不與時俱進的滲透測試計劃,很快就會毫無用處���。新技術�����、新工具�、新漏洞層出不窮���。你得緊跟最新發(fā)展�,并持續(xù)更新你的方法�。優(yōu)秀的滲透測試合作伙伴會在他們的策略中融入最新的黑客技術。
7. 不常做滲透測試
盡管年度滲透測試可能比較常見����,但這并不能為你帶來安寧��。不常做的測試只能交出測試執(zhí)行當時的防御情況��。你得持續(xù)檢測你的防御并反復測試���,才能確保暴露出來的漏洞被恰當修復了。這是自動化滲透測試平臺如此有效的又一個原因�。
8. 沒能修復
確保滲透測試合作伙伴和自動化工具產(chǎn)生的報告有專人負責解讀和響應。你必須排序所發(fā)現(xiàn)的問題��,并及時著手解決��。損失慘重的數(shù)據(jù)盜竊往往是公司企業(yè)未處理已知漏洞的結果�����。確保已發(fā)現(xiàn)漏洞得到妥善解決����,應成為滲透測試的組成部分之一�。
規(guī)劃和執(zhí)行都很糟糕的滲透測試非常危險。若想維持健壯的安全態(tài)勢��,必不能驕傲自滿。
網(wǎng)頁標題:滲透測試的八個錯誤姿勢
鏈接地址:
http://uogjgqi.cn/article/ccspejg.html
