@哈哈鱼
2年前 提问
1个回答

哪些情况不适用于渗透测试

Andrew
2年前

以下情况不适用于渗透测试:

  • 未排序风险优先级:提升安全状态的要务之一,就是建立风险基线。必须识别出最大风险在哪儿。此信息是确立渗透测试目标的基础。渗透测试总得有个目标,无论是客户数据、知识产权,还是公司财务数据。排序风险可以帮助公司将安全工作聚焦到能产生最大价值的地方。考虑公司可能面临的最坏情况,然后围绕此最坏情况设置渗透测试目标。发现次要潜在问题可能很容易,但那会分散你对真正重要问题的注意力。

  • 使用错误的工具:渗透测试工具多如牛毛,但知道哪种工具该用在哪里,清楚这些工具的正确配置方法,却需要大量的专业知识。如果你觉得可以买现成的渗透测试工具,交由内部 IT 团队执行,那你可能会面临重大的打击。除非你有极具经验的内部红队,否则你应该引入具备真正专业技能的第三方。渗透测试员可能身价很高,你或许会短期聘用他们,所以,自动化工具值得考虑。自动化渗透测试平台是验证公司防御,赋予公司一定持续防护的良好方式。谨慎选择,并向你的第三方渗透测试合作伙伴寻求建议。

  • 糟糕的报告:如果第三方渗透测试员的报告不具备可读性,就很难理解他们发现的漏洞,更别提了解这些漏洞对公司的潜在影响了。渗透测试报告应清晰阐述问题所在,表明不修复的潜在后果,并提出具体的修复方法。没有清晰目标就开始测试,会对报告阶段产生不利影响,因为这么做很难识别出威胁战略性资产的真正关键攻击途径。良好报告应滤掉噪音和误报,突出对公司而言真正重要的东西。没有任何方向,大包大揽地堆出几千个漏洞的第三方或自动化工具就别引入了,面面俱到是不可能的。所以,确保你有重点突出的可执行计划,有明确的需要修复的漏洞列表。

  • 照单划勾:如果你的渗透测试员在测试中抱有照单划勾的思想,那你很可能就会漏掉一些东西。尽管合规很重要,但这并不是你执行渗透测试的唯一原因。专注于勾掉项目会让你陷入一种虚假的安全感。网络罪犯可不是照着检查清单来执行攻击的。

  • 干扰业务:合理规划渗透测试,考虑对重要业务系统的潜在影响。成功的黑客常在不干扰服务的情况下利用漏洞,你聘用的渗透测试员也应如此。如果测试在生产环境中执行,一定要明确这一点。黑盒测试场景,指的是渗透测试员不了解你基础设施的情况。这种情况下,渗透测试对业务产生干扰的风险更大。

  • 使用过时技术:不与时俱进的渗透测试计划,很快就会毫无用处。新技术、新工具、新漏洞层出不穷。你得紧跟最新发展,并持续更新你的方法。优秀的渗透测试合作伙伴会在他们的策略中融入最新的黑客技术。

  • 不常做渗透测试:尽管年度渗透测试可能比较常见,但这并不能为你带来安宁。不常做的测试只能交出测试执行当时的防御情况。你得持续检测你的防御并反复测试,才能确保暴露出来的漏洞被恰当修复了。这是自动化渗透测试平台如此有效的又一个原因。

  • 没能修复:确保渗透测试合作伙伴和自动化工具产生的报告有专人负责解读和响应。你必须排序所发现的问题,并及时着手解决。损失惨重的数据盗窃往往是公司企业未处理已知漏洞的结果。确保已发现漏洞得到妥善解决,应成为渗透测试的组成部分之一。