@CI
3年前 提问
1个回答
内网渗透测试多久进行一次
Simon
3年前
对于这个问题没有一个最佳的答案,应为不同的企业不同的系统面临的变量太多,例如网络复杂程度、系统和应用变更的速度、预算等,建议在考虑有的事情以及试图保持合理性的同时每季度或者半年进行一次内网渗透测试是最佳的,比渗透测试频率更重要的是,你的企业需要确保随着时间的推移有效而持续地执行安全测试。
是一个很好的问题,而且,这个问题经常被大家认为是理所当然。我们面临的挑战是,对于这个问题,并没有一个最佳答案。这类似于“我应该多久锻炼一次?”、“我应该多久去洗一次牙?”以及“我应该多久更换汽车的机油?”等问题,当涉及渗透测试时,我们面对着太多变量,例如网络复杂程度、系统和应用变更的速度、预算等。问100个人,你可能会得到100个不同的答案。当然,如果还有第三方介入(例如牙医、机械师和安全顾问),他们可能会倾向于建议符合他们利益的做法,所以要小心。
最重要的是,你需要确保你正在做正确的测试,在最纯粹意义上的“渗透测试”并不够,更高级别的审查清单也不够,此外,利用普通的漏洞扫描无疑会促使数据泄露事故的发生。我建议把重点放在执行“安全评估”上,查看所有正确的事情,而不是根据别人要求你所做的事情来限制你的测试。