以下情況不適用于滲透測試:
未排序風險優先級:提升安全狀態的要務之一,就是建立風險基線。必須識別出最大風險在哪兒。此信息是確立滲透測試目標的基礎。滲透測試總得有個目標,無論是客戶數據、知識產權,還是公司財務數據。排序風險可以幫助公司將安全工作聚焦到能產生最大價值的地方。考慮公司可能面臨的最壞情況,然后圍繞此最壞情況設置滲透測試目標。發現次要潛在問題可能很容易,但那會分散你對真正重要問題的注意力。
使用錯誤的工具:滲透測試工具多如牛毛,但知道哪種工具該用在哪里,清楚這些工具的正確配置方法,卻需要大量的專業知識。如果你覺得可以買現成的滲透測試工具,交由內部 IT 團隊執行,那你可能會面臨重大的打擊。除非你有極具經驗的內部紅隊,否則你應該引入具備真正專業技能的第三方。滲透測試員可能身價很高,你或許會短期聘用他們,所以,自動化工具值得考慮。自動化滲透測試平臺是驗證公司防御,賦予公司一定持續防護的良好方式。謹慎選擇,并向你的第三方滲透測試合作伙伴尋求建議。
糟糕的報告:如果第三方滲透測試員的報告不具備可讀性,就很難理解他們發現的漏洞,更別提了解這些漏洞對公司的潛在影響了。滲透測試報告應清晰闡述問題所在,表明不修復的潛在后果,并提出具體的修復方法。沒有清晰目標就開始測試,會對報告階段產生不利影響,因為這么做很難識別出威脅戰略性資產的真正關鍵攻擊途徑。良好報告應濾掉噪音和誤報,突出對公司而言真正重要的東西。沒有任何方向,大包大攬地堆出幾千個漏洞的第三方或自動化工具就別引入了,面面俱到是不可能的。所以,確保你有重點突出的可執行計劃,有明確的需要修復的漏洞列表。
照單劃勾:如果你的滲透測試員在測試中抱有照單劃勾的思想,那你很可能就會漏掉一些東西。盡管合規很重要,但這并不是你執行滲透測試的唯一原因。專注于勾掉項目會讓你陷入一種虛假的安全感。網絡罪犯可不是照著檢查清單來執行攻擊的。
干擾業務:合理規劃滲透測試,考慮對重要業務系統的潛在影響。成功的黑客常在不干擾服務的情況下利用漏洞,你聘用的滲透測試員也應如此。如果測試在生產環境中執行,一定要明確這一點。黑盒測試場景,指的是滲透測試員不了解你基礎設施的情況。這種情況下,滲透測試對業務產生干擾的風險更大。
使用過時技術:不與時俱進的滲透測試計劃,很快就會毫無用處。新技術、新工具、新漏洞層出不窮。你得緊跟最新發展,并持續更新你的方法。優秀的滲透測試合作伙伴會在他們的策略中融入最新的黑客技術。
不常做滲透測試:盡管年度滲透測試可能比較常見,但這并不能為你帶來安寧。不常做的測試只能交出測試執行當時的防御情況。你得持續檢測你的防御并反復測試,才能確保暴露出來的漏洞被恰當修復了。這是自動化滲透測試平臺如此有效的又一個原因。
沒能修復:確保滲透測試合作伙伴和自動化工具產生的報告有專人負責解讀和響應。你必須排序所發現的問題,并及時著手解決。損失慘重的數據盜竊往往是公司企業未處理已知漏洞的結果。確保已發現漏洞得到妥善解決,應成為滲透測試的組成部分之一。
回答所涉及的環境:聯想天逸510S、Windows 10。
以下情況不適用于滲透測試:
未排序風險優先級:提升安全狀態的要務之一,就是建立風險基線。必須識別出最大風險在哪兒。此信息是確立滲透測試目標的基礎。滲透測試總得有個目標,無論是客戶數據、知識產權,還是公司財務數據。排序風險可以幫助公司將安全工作聚焦到能產生最大價值的地方。考慮公司可能面臨的最壞情況,然后圍繞此最壞情況設置滲透測試目標。發現次要潛在問題可能很容易,但那會分散你對真正重要問題的注意力。
使用錯誤的工具:滲透測試工具多如牛毛,但知道哪種工具該用在哪里,清楚這些工具的正確配置方法,卻需要大量的專業知識。如果你覺得可以買現成的滲透測試工具,交由內部 IT 團隊執行,那你可能會面臨重大的打擊。除非你有極具經驗的內部紅隊,否則你應該引入具備真正專業技能的第三方。滲透測試員可能身價很高,你或許會短期聘用他們,所以,自動化工具值得考慮。自動化滲透測試平臺是驗證公司防御,賦予公司一定持續防護的良好方式。謹慎選擇,并向你的第三方滲透測試合作伙伴尋求建議。
糟糕的報告:如果第三方滲透測試員的報告不具備可讀性,就很難理解他們發現的漏洞,更別提了解這些漏洞對公司的潛在影響了。滲透測試報告應清晰闡述問題所在,表明不修復的潛在后果,并提出具體的修復方法。沒有清晰目標就開始測試,會對報告階段產生不利影響,因為這么做很難識別出威脅戰略性資產的真正關鍵攻擊途徑。良好報告應濾掉噪音和誤報,突出對公司而言真正重要的東西。沒有任何方向,大包大攬地堆出幾千個漏洞的第三方或自動化工具就別引入了,面面俱到是不可能的。所以,確保你有重點突出的可執行計劃,有明確的需要修復的漏洞列表。
照單劃勾:如果你的滲透測試員在測試中抱有照單劃勾的思想,那你很可能就會漏掉一些東西。盡管合規很重要,但這并不是你執行滲透測試的唯一原因。專注于勾掉項目會讓你陷入一種虛假的安全感。網絡罪犯可不是照著檢查清單來執行攻擊的。
干擾業務:合理規劃滲透測試,考慮對重要業務系統的潛在影響。成功的黑客常在不干擾服務的情況下利用漏洞,你聘用的滲透測試員也應如此。如果測試在生產環境中執行,一定要明確這一點。黑盒測試場景,指的是滲透測試員不了解你基礎設施的情況。這種情況下,滲透測試對業務產生干擾的風險更大。
使用過時技術:不與時俱進的滲透測試計劃,很快就會毫無用處。新技術、新工具、新漏洞層出不窮。你得緊跟最新發展,并持續更新你的方法。優秀的滲透測試合作伙伴會在他們的策略中融入最新的黑客技術。
不常做滲透測試:盡管年度滲透測試可能比較常見,但這并不能為你帶來安寧。不常做的測試只能交出測試執行當時的防御情況。你得持續檢測你的防御并反復測試,才能確保暴露出來的漏洞被恰當修復了。這是自動化滲透測試平臺如此有效的又一個原因。
沒能修復:確保滲透測試合作伙伴和自動化工具產生的報告有專人負責解讀和響應。你必須排序所發現的問題,并及時著手解決。損失慘重的數據盜竊往往是公司企業未處理已知漏洞的結果。確保已發現漏洞得到妥善解決,應成為滲透測試的組成部分之一。
回答所涉及的環境:聯想天逸510S、Windows 10。