测试的八个错误姿势
突破你的网络。 尽管渗透测试被广泛认为是一种必要的安全防护手段,但却需要周密计划和专业执行。专业技能或经验的缺乏可导致不达标的渗透测试,不能揭示漏洞,令公司依旧暴露在攻击者火力范围内。 下面我们列出渗透测试中的几种常见错误姿势,并附上如何避免出错的建议。 01、未排序风险优先级 提升安全状态的要务之一,就是建立风险基线。必须识别出较大的风险在哪儿。此信息是确立渗透测试目标的基础。渗透测试总得有个目标,无论是客户数据、知识产权,还是公司财务数据。排序风险可以帮助公司将安全工作聚焦到能产生较大价值的地方。 考虑公司可能面临的最坏情况,然后围绕此最坏情况设置渗透测试目标。发现次要潜在问题可能很容易,但那会分散你对真正重要问题的注意力。 02、使用错误的工具 渗透测试工具多如牛毛,但知道哪种工具该用在哪里,清楚这些工具的正确配置方法,却需要大量的专业知识。如果你觉得可以买现成的渗透测试工具,交由内部 IT 团队执行,那你可能会面临重大的打击。除非你有极具经验的内部红队,否则你应该引入具备真正专业技能的第三方。 渗透测试员可能身价很高,你或许会短期聘用他们,所以,自动化工具值得考虑。自动化渗透测试平台是验证公司防御,赋予公司一定持续防护的良好方式。谨慎选择,并向你的第三方渗透测试合作伙伴寻求建议。 03、糟糕的报告 如果第三方渗透测试员的报告不具备可读性,就很难理解他们发现的漏洞,更别提了解这些漏洞对公司的潜在影响了。渗透测试报告应清晰阐述问题所在,表明不修复的潜在后果,并提出具体的修复方法。
没有清晰目标就开始测试,会对报告阶段产生不利影响,因为这么做很难识别出威胁战略性资产的真正关键攻击途径。良好报告应滤掉噪音和误报,突出对公司而言真正重要的东西。没有任何方向,大包大揽地堆出几千个漏洞的第三方或自动化工具就别引入了,面面俱到是不可能的。所以,确保你有重点突出的可执行计划,有明确的需要 (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |