在上一篇文章中我們了解了風(fēng)險(xiǎn)評(píng)估的重要性，有效風(fēng)險(xiǎn)評(píng)估的三個(gè)階段以及滲透測(cè)試的三個(gè)類型。但是，滲透測(cè)試的風(fēng)險(xiǎn)也是存在的，下面讓我們深入的了解它們。

成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供白河企業(yè)網(wǎng)站建設(shè),專注與成都做網(wǎng)站、成都網(wǎng)站建設(shè)、H5響應(yīng)式網(wǎng)站、小程序制作等業(yè)務(wù)。10年已為白河眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

滲透測(cè)試要考慮的因素

如果由經(jīng)驗(yàn)不足的測(cè)試人員進(jìn)行或測(cè)試時(shí)出現(xiàn)錯(cuò)誤，則滲透測(cè)試帶來(lái)的損害可能大于收益。在進(jìn)行測(cè)試之前，您需要考慮此測(cè)試的主要缺點(diǎn)。

以下是一些關(guān)鍵的滲透測(cè)試風(fēng)險(xiǎn)：

• 為錯(cuò)誤操作付出高昂代價(jià)。滲透測(cè)試人員可以使用敏感數(shù)據(jù)和基礎(chǔ)架構(gòu)。如果測(cè)試未正確執(zhí)行，它們可能會(huì)使服務(wù)器崩潰并暴露或破壞數(shù)據(jù)。需要考慮的安全風(fēng)險(xiǎn)，尤其是在黑盒測(cè)試期間。
• 不合規(guī)的測(cè)試會(huì)讓結(jié)果產(chǎn)生偏移。如果您的安全團(tuán)隊(duì)知道即將進(jìn)行的測(cè)試或自己進(jìn)行測(cè)試，他們可能會(huì)事先為此做好準(zhǔn)備。任何安全評(píng)估的重點(diǎn)都是要按照規(guī)定的模式去實(shí)施的。如果在不合規(guī)的環(huán)境中進(jìn)行滲透測(cè)試，那所得到結(jié)果就沒(méi)有意義了。
• 時(shí)間和范圍限制。與任何過(guò)程一樣，要進(jìn)行滲透測(cè)試是一項(xiàng)技術(shù)任務(wù)，并且需要準(zhǔn)備報(bào)告的截止日期。這限制了滲透測(cè)試者可以使用的漏洞利用數(shù)量，特別是如果您雇用了第三方測(cè)試組織。另一方面，黑客通常沒(méi)有時(shí)間計(jì)劃攻擊。因此，您不能依靠滲透測(cè)試的一個(gè)實(shí)例來(lái)提高網(wǎng)絡(luò)安全性，尤其是在時(shí)間上受到嚴(yán)格限制的情況下。

不過(guò)，盡管如此，滲透測(cè)試帶來(lái)的好處是大于風(fēng)險(xiǎn)。另外，有幾種最佳做法可以幫助您解決我們所討論的問(wèn)題。

獲得最佳測(cè)試結(jié)果

每個(gè)測(cè)試團(tuán)隊(duì)都有獨(dú)特的滲透測(cè)試方法，并且每個(gè)過(guò)程都有獨(dú)特的結(jié)果。我們準(zhǔn)備了一系列操作，可以幫助您從此安全評(píng)估中獲得最佳結(jié)果。

如何改善這一過(guò)程

1. 聘請(qǐng)合格的第三方進(jìn)行滲透測(cè)試

進(jìn)行內(nèi)部測(cè)試很誘人，因?yàn)樗梢怨?jié)省大量時(shí)間和金錢(qián)。但是，由于以下原因，它不能保證結(jié)果無(wú)偏見(jiàn)：

• 可能缺乏專業(yè)知識(shí)
• 不合規(guī)性的存在
• 無(wú)法模擬真實(shí)的攻擊

通過(guò)第三方組織，您將獲得專門(mén)的滲透測(cè)試人員，并獲得全新的安全控制手段。開(kāi)始進(jìn)行筆試之前，請(qǐng)與您的供應(yīng)商討論您的范圍、預(yù)算、時(shí)間限制和先前抗議的結(jié)果。

2. 力爭(zhēng)最大程度地覆蓋測(cè)試

任何環(huán)境都是不可分割的系統(tǒng)，因此應(yīng)將其作為系統(tǒng)而不是獨(dú)立的部分進(jìn)行測(cè)試。如果您只測(cè)試并保護(hù)了一部分環(huán)境，則始終存在黑客仍然能夠通過(guò)操作系統(tǒng)、硬件或其他軟件中的漏洞訪問(wèn)該環(huán)境的風(fēng)險(xiǎn)。低測(cè)試覆蓋率和部分測(cè)試只會(huì)導(dǎo)致威脅依舊存在。只有在需要重新檢查滲透測(cè)試后制作安全補(bǔ)丁時(shí)，才進(jìn)行此類測(cè)試是合理的。

3. 不要急于準(zhǔn)備測(cè)試

在攻擊前階段，測(cè)試人員評(píng)估漏洞，武器化自己并準(zhǔn)備測(cè)試方案。但是從測(cè)試團(tuán)隊(duì)外部來(lái)看，攻擊者攻擊時(shí)，幾乎沒(méi)有什么準(zhǔn)備時(shí)間，一切以實(shí)際發(fā)生威脅的狀況進(jìn)行?？梢圆粫r(shí)詢問(wèn)測(cè)試過(guò)程，但是請(qǐng)確保不要急于準(zhǔn)備階段。請(qǐng)記住，這是一個(gè)耗時(shí)的過(guò)程。對(duì)于黑盒測(cè)試，此階段有時(shí)可能會(huì)占用總時(shí)長(zhǎng)的90%。

4. 使用相關(guān)的滲透測(cè)試標(biāo)準(zhǔn)

每個(gè)測(cè)試環(huán)境都需要一種獨(dú)特的方法。盡管如此，滲透測(cè)試仍有行業(yè)認(rèn)可的標(biāo)準(zhǔn)。使用這些標(biāo)準(zhǔn)來(lái)指導(dǎo)您的內(nèi)部團(tuán)隊(duì)，或確保您的第三方供應(yīng)商使用它。最受歡迎的是：

• 滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)
• OWASP Web應(yīng)用程序滲透性檢查表 [PDF]
• PCI DSS滲透測(cè)試指南 [PDF]
• CREST滲透測(cè)試指南 [PDF]

5. 進(jìn)行滲透測(cè)試時(shí)停止開(kāi)發(fā)過(guò)程

滲透測(cè)試可以發(fā)現(xiàn)某些環(huán)境下的威脅和風(fēng)險(xiǎn)。如果您決定在測(cè)試過(guò)程中更改現(xiàn)有參數(shù)或部署新軟件，則會(huì)影響最終結(jié)果。最好在測(cè)試之前完成您的開(kāi)發(fā)活動(dòng)，以保證它包含在新測(cè)試范圍的環(huán)境中。

6. 測(cè)試后檢查安全措施和數(shù)據(jù)的完整性

測(cè)試之后，測(cè)試團(tuán)隊(duì)?wèi)?yīng)清除自己的足跡：關(guān)閉創(chuàng)建的后門(mén)程序、刪除利用腳本和臨時(shí)文件、反向設(shè)置更改等。但是，您應(yīng)仔細(xì)檢查以下內(nèi)容：

• 為測(cè)試目的而創(chuàng)建的安全漏洞已關(guān)閉
• 測(cè)試人員的用戶帳戶已刪除
• 受損的憑證已更改

如果您選擇一個(gè)高技能的測(cè)試團(tuán)隊(duì)，使用我們上面列出的做法，并實(shí)施控制措施以減輕發(fā)現(xiàn)的風(fēng)險(xiǎn)，您的網(wǎng)絡(luò)安全將進(jìn)一步提高!

7. 不要忽略補(bǔ)救措施

滲透測(cè)試供應(yīng)商通常會(huì)在其報(bào)告中提供有關(guān)風(fēng)險(xiǎn)補(bǔ)救的建議。如果很少進(jìn)行滲透測(cè)試(一年或更短時(shí)間)或包含大量任務(wù)，則可能會(huì)發(fā)現(xiàn)很多關(guān)鍵風(fēng)險(xiǎn)，并且補(bǔ)救措施將需要大量時(shí)間和金錢(qián)。

當(dāng)然，為了降低成本，您可以推遲補(bǔ)救或僅解決最關(guān)鍵的問(wèn)題。但是，如果您覺(jué)得沒(méi)有足夠的資源來(lái)執(zhí)行滲透測(cè)試的結(jié)果，那么最好將自己局限于內(nèi)部漏洞掃描，而不是進(jìn)行全面滲透測(cè)試。

結(jié)論

風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理流程中難以執(zhí)行但至關(guān)重要的部分。它可以幫助您評(píng)估組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)。進(jìn)行風(fēng)險(xiǎn)評(píng)估的方法很多，包括滲透測(cè)試、紅隊(duì)測(cè)試和基于風(fēng)險(xiǎn)的測(cè)試。但是不要懷疑此過(guò)程中滲透測(cè)試的重要性：它可以對(duì)安全控制進(jìn)行復(fù)雜的評(píng)估，并會(huì)模擬對(duì)受保護(hù)環(huán)境的真實(shí)攻擊。

文章標(biāo)題：滲透測(cè)試評(píng)估風(fēng)險(xiǎn)的簡(jiǎn)要指南Part2
網(wǎng)頁(yè)鏈接：http://uogjgqi.cn/article/dhhdcgg.html