取消
清空记录
历史记录
清空记录
历史记录
渗透测试对于网络安全检测十分(fēn)重要,但是你之前都做对了吗?其实渗透测试中常常会出现八种错误姿势,你是否有(yǒu)注意呢(ne)?
01未排序风险优先级
提升安全状态的要務(wù)之一,就是建立风险基線(xiàn)。必须识别出大风险在哪儿。此信息是确立渗透测试目标的基础。渗透测试总得有(yǒu)个目标,无论是客户数据、知识产权,还是公司财務(wù)数据。排序风险可(kě)以帮助公司将安全工作聚焦到能(néng)产生大价值的地方。
考虑公司可(kě)能(néng)面临的坏情况,然后围绕此坏情况设置渗透测试目标。发现次要潜在问题可(kě)能(néng)很(hěn)容易,但那会分(fēn)散你对真正重要问题的注意力。
02使用(yòng)错误的工具
渗透测试工具多(duō)如牛毛,但知道哪种工具该用(yòng)在哪里,清楚这些工具的正确配置方法,却需要大量的专业知识。如果你觉得可(kě)以买现成的渗透测试工具,交由内部 IT 团队执行,那你可(kě)能(néng)会面临重大的打击。除非你有(yǒu)极具经验的内部红队,否则你应该引入具备真正专业技能(néng)的第三方。
渗透测试员可(kě)能(néng)身价很(hěn)高,你或许会短期聘用(yòng)他(tā)们,所以,自动化工具值得考虑。自动化渗透测试平台是验证公司防御,赋予公司一定持续防护的良好方式。谨慎选择,并向你的第三方渗透测试合作伙伴寻求建议。
03糟糕的报告
如果第三方渗透测试员的报告不具备可(kě)读性,就很(hěn)难理(lǐ)解他(tā)们发现的漏洞,更别提了解这些漏洞对公司的潜在影响了。渗透测试报告应清晰阐述问题所在,表明不修复的潜在后果,并提出具體(tǐ)的修复方法。
没有(yǒu)清晰目标就开始测试,会对报告阶段产生不利影响,因為(wèi)这么做很(hěn)难识别出威胁战略性资产的真正关键攻击途径。良好报告应滤掉噪音和误报,突出对公司而言真正重要的东西。没有(yǒu)任何方向,大包大揽地堆出几千个漏洞的第三方或自动化工具就别引入了,面面俱到是不可(kě)能(néng)的。所以,确保你有(yǒu)重点突出的可(kě)执行计划,有(yǒu)明确的需要修复的漏洞列表。
04照单划勾
如果你的渗透测试员在测试中抱有(yǒu)照单划勾的思想,那你很(hěn)可(kě)能(néng)就会漏掉一些东西。尽管合规很(hěn)重要,但这并不是你执行渗透测试的单一原因。专注于勾掉项目会让你陷入一种虚假的安全感。网络罪犯可(kě)不是照着检查清单来执行攻击的。
05干扰业務(wù)
合理(lǐ)规划渗透测试,考虑对重要业務(wù)系统的潜在影响。成功的黑客常在不干扰服務(wù)的情况下利用(yòng)漏洞,你聘用(yòng)的渗透测试员也应如此。如果测试在生产环境中执行,一定要明确这一点。黑盒测试场景,指的是渗透测试员不了解你基础设施的情况。这种情况下,渗透测试对业務(wù)产生干扰的风险更大。
06使用(yòng)过时技术
不与时俱进的渗透测试计划,很(hěn)快就会毫无用(yòng)处。新(xīn)技术、新(xīn)工具、新(xīn)漏洞层出不穷。你得紧跟新(xīn)发展,并持续更新(xīn)你的方法。专业的渗透测试合作伙伴会在他(tā)们的策略中融入较新(xīn)的黑客技术。
07不常做渗透测试
尽管年度渗透测试可(kě)能(néng)比较常见,但这并不能(néng)為(wèi)你带来安宁。不常做的测试只能(néng)交出测试执行当时的防御情况。你得持续检测你的防御并反复测试,才能(néng)确保暴露出来的漏洞被恰当修复了。这是自动化渗透测试平台如此有(yǒu)效的又(yòu)一个原因。
08没能(néng)修复
确保渗透测试合作伙伴和自动化工具产生的报告有(yǒu)专人负责解读和响应。你必须排序所发现的问题,并及时着手解决。损失惨重的数据盗窃往往是公司企业未处理(lǐ)已知漏洞的结果。确保已发现漏洞得到妥善解决,应成為(wèi)渗透测试的组成部分(fēn)之一。
避免以上8种错误姿势,正确维护网络安全。上海观初网络科(kē)技有(yǒu)限公司专注于為(wèi)企业提供信息安全解决方案的技术服務(wù)公司。关注我们带你了解更多(duō)信息安全知识。
相关新(xīn)闻