關于網絡安全滲透測試的常見誤區 - 網安 - 專業的網絡安全產業、社區、知識平臺

從攻擊者的角度思考可以更快速了解企業在網絡防御方面的不足。網絡安全滲透測試工作的本質就是扮演攻擊性黑客的角色，梳理企業的IT資產、尋找漏洞和攻擊路徑，以便更好地修復或應對風險。定期開展滲透測試對企業來說很寶貴，然而很多企業在準備制定滲透測試計劃時，他們對滲透測試服務的理解和需求，往往與真實服務情況存在著很多偏差。本文梳理總結了企業在開展滲透測試工作時普遍存在的認知誤區，并就如何避免這些錯誤給出了建議。

誤區1 滲透測試總是主動發起的

開展滲透測試的主要目的是搶在攻擊者之前發現系統的安全隱患和漏洞，因此滲透測試屬于一種主動式的安全技術。但就具體的滲透測試工作而言，有時也會是被動發起的，例如當組織在調查網絡攻擊的原因時。在網絡安全事件調查中，組織可以通過滲透測試以深入了解攻擊的性質，并全面掌握該事件是如何發生的，采用的技術的是什么，以及攻擊的動機是什么？因此，盡管大多數情況下，組織會主動執行測試以幫助防止違規行為。但滲透測試工作并不都是主動發起的，取證分析期間的滲透測試同樣可以幫助企業了解發生了什么，從而幫助組織防止類似的事件再次發生。

誤區2 滲透測試就是漏洞掃描

由于滲透測試和漏洞掃描都是為了識別潛在的威脅途徑，因此很多人會將兩者混為一談。但實際上，漏洞掃描與管理主要包括識別和分類已知漏洞，生成需要注意的優先漏洞列表，并推薦修復它們的方法。而安全威脅非常多樣，并不僅限于安全漏洞的利用。滲透測試側重于模擬攻擊者的行為，在服務完成后，測試人員需要生成一份詳細報告，說明測試過程中是如何破壞安全性以達到先前商定的目標（例如破壞工資系統），并提供相應的威脅緩解方案。

誤區3 滲透測試可以完全自動化

滲透測試自動化在理論上看起來不錯，但在具體實現中會存在很多問題。為了實現常態化、持續性的安全能力測試，許多企業開始大量使用自動化技術驅動的安全測試方法，但需要指出的是：目前的自動化測試模式大多屬于安全掃描，而非真正的滲透攻擊測試。不可否認自動化測試的應用價值，但真正的攻擊行為是和機器模擬入侵有很大差異的。經驗、創造力和好奇心是滲透測試的核心，而這都是專業滲透人員獨有的。人工測試是大多數的滲透測試項目不可或缺的，這樣才能更好地從攻擊者視角發現問題。

誤區4 滲透測試意味著高成本

企業開展滲透測試工作需要一定的人力、技術和資金資源投入。雖然這些資源可能不容易獲取，但它們在預防威脅方面具有的價值卻值得組織投入心血。因為與網絡攻擊造成的經濟損失相比，投入到滲透測試的成本可以說是微不足道的。隨著數字化轉型的深入，各種數據資產對企業而言是無價的，一旦數據被非法泄露，組織的商譽會受到嚴重損害。而如果攻擊者的目標是為了勒索錢財，他們索要的贖金數額通常也會遠高于滲透測試的成本預算。

誤區5 滲透測試應該由外部人員執行

關于滲透測試有一個長期存在的誤區是，外部人員執行滲透測試會比內部人員更有效，其原因是外部人員對企業的數字化系統并不熟悉，因此會更加客觀。雖然客觀性是滲透測試有效性的關鍵，但了解業務系統并不就意味著不客觀。

因此，滲透測試可由企業內部員工、專業服務商或其他第三方機構完成。滲透測試由標準程序和性能度量組成，只要測試者能夠嚴格遵循測試指導原則，測試結果就是有效的。對于企業而言，選擇的重點不應該放在聘請外部或內部測試者上，而是應該放在尋找能夠出色完成工作的測試者上。

誤區6 滲透測試是階段性的工作

很多企業認為，滲透測試只需要階段性開展就可以，因為一次測試的報告結果將會長期有效。在網絡空間千變萬化的發展態勢下，這種認知將給企業帶來一定的安全風險。由于網絡犯罪分子會不停地尋找系統中的漏洞，如果滲透測試間隔時間長，他們就有機會領先于企業發現可利用的新漏洞。傳統的滲透測試是按照固定的時間表進行的，屬于定期評估的概念。持續滲透測試則是一個不斷掃描系統以發現漏洞的過程，會變得越來越重要。

誤區7 滲透測試僅用于發現技術缺陷

滲透測試的目的是發現組織安全防護體系中的不足。在測試中，測試方可以應用包括社會工程方式在內的多種方法。因此，在滲透測試之前，通常會確定是否需要專門評估某項技術的安全性。在實際應用中，測試工程師可能會被授權做更多事情，例如掃描社交媒體以獲取可利用的信息，或嘗試通過電子郵件從用戶那里獲取敏感數據，甚至嘗試欺騙獲取用戶的賬號權限等。

誤區8 所有滲透測試都大同小異

從本質上講，滲透測試是一個主要依靠安全專家或團隊以人工方式模仿攻擊者的真實攻擊行為，其目的是在數字化基礎設施的不同層級找到進入可以攻破目標網絡的最有效方法。根據測試方法和目標的不同，滲透測試通常分為外部測試、內部測試、盲測、針對性測試等。

很多企業為了節省成本，往往會選擇收費更便宜的測試提供商和測試方式，并認為各種類型測試的結果會很相似，但事實并非如此。與大多數服務一樣，滲透測試的程度差異很大，既有覆蓋網絡所有區域的廣泛測試，也有針對網絡中少數區域的非廣泛測試。企業應該根據實際需求，專注于尋找從測試中獲得的價值，而不是成本。

誤區9 良好的測試結果意味著沒有問題

從測試中獲得一個好的結果只是一個良好的開始，但組織不應該沾沾自喜，這也不代表企業的網絡安全防護工作高枕無憂。只要組織的數字化系統還在運行，它就時刻會面臨各種不斷出現的新威脅。良好的測試結果只是肯定了過去建設的成績，并激勵組織繼續重視在安全方面的投入。企業應該持續性進行滲透測試，以消除新出現的威脅，并確保系統沒有威脅。

誤區10 滲透測試只適用于企業用戶

有一種觀念認為滲透測試是面向企業用戶的，而不適用于個人用戶，這是一種廣泛的誤解。滲透測試的目的是保護數據，而并非只有企業才擁有敏感數據，現代社會的每個人都會有大量的隱私數據，比如銀行信息、信用卡詳細信息和醫療記錄等。攻擊者同樣會利用個人信息化應用的漏洞來訪問并濫用數據。因此，我們每個人都應該提高數據安全和隱私保護的防范意識，在有條件的情況下，通過滲透測試來檢驗各種數據的安全性和可靠性。