渗透测试很重要,但你真的做对了吗?我们不妨来看看渗透测试中常见的几种错误,谈谈该如何避免这些错误。
找出公司安全状态中缺陷和弱点的最有效方式之一,就是让第三方对自身系统展开有计划的攻击。渗透测试旨在暴露出公司防御上的缺口,以便公司能够在被恶意人士利用之前堵上这些缺口。有多种类型的渗透测试可以针对公司的不同方面。
网络罪犯针对公司的潜在攻击途径很多,从网络基础设施到应用程序,再到设备和员工。优秀的渗透测试合作伙伴会以开放性思维看待问题,尝试模拟恶意黑客,探测弱点,并运用各种技术和工具以突破你的网络。
尽管渗透测试被广泛认为是一种必要的安全防护手段,但却需要周密计划和专业执行。专业技能或经验的缺乏可导致不达标的渗透测试,不能揭示漏洞,令公司依旧暴露在攻击者火力范围内。
下面我们列出渗透测试中的几种常见错误姿势,并附上如何避免出错的建议。
01、未排序风险优先级
提升安全状态的要务之一,就是建立风险基线。必须识别出较大的风险在哪儿。此信息是确立渗透测试目标的基础。渗透测试总得有个目标,无论是客户数据、知识产权,还是公司财务数据。排序风险可以帮助公司将安全工作聚焦到能产生较大价值的地方。
考虑公司可能面临的最坏情况,然后围绕此最坏情况设置渗透测试目标。发现次要潜在问题可能很容易,但那会分散你对真正重要问题的注意力。
02、使用错误的工具
渗透测试工具多如牛毛,但知道哪种工具该用在哪里,清楚这些工具的正确配置方法,却需要大量的专业知识。如果你觉得可以买现成的渗透测试工具,交由内部 IT 团队执行,那你可能会面临重大的打击。除非你有极具经验的内部红队,否则你应该引入具备真正专业技能的第三方。
渗透测试员可能身价很高,你或许会短期聘用他们,所以,自动化工具值得考虑。自动化渗透测试平台是验证公司防御,赋予公司一定持续防护的良好方式。谨慎选择,并向你的第三方渗透测试合作伙伴寻求建议。
03、糟糕的报告
如果第三方渗透测试员的报告不具备可读性,就很难理解他们发现的漏洞,更别提了解这些漏洞对公司的潜在影响了。渗透测试报告应清晰阐述问题所在,表明不修复的潜在后果,并提出具体的修复方法。
没有清晰目标就开始测试,会对报告阶段产生不利影响,因为这么做很难识别出威胁战略性资产的真正关键攻击途径。良好报告应滤掉噪音和误报,突出对公司而言真正重要的东西。没有任何方向,大包大揽地堆出几千个漏洞的第三方或自动化工具就别引入了,面面俱到是不可能的。所以,确保你有重点突出的可执行计划,有明确的需要修复的漏洞列表。
04、照单划勾
如果你的渗透测试员在测试中抱有照单划勾的思想,那你很可能就会漏掉一些东西。尽管合规很重要,但这并不是你执行渗透测试的唯一原因。专注于勾掉项目会让你陷入一种虚假的安全感。网络罪犯可不是照着检查清单来执行攻击的。
05、干扰业务
合理规划渗透测试,考虑对重要业务系统的潜在影响。成功的黑客常在不干扰服务的情况下利用漏洞,你聘用的渗透测试员也应如此。如果测试在生产环境中执行,一定要明确这一点。黑盒测试场景,指的是渗透测试员不了解你基础设施的情况。这种情况下,渗透测试对业务产生干扰的风险更大。
06、使用过时技术
不与时俱进的渗透测试计划,很快就会毫无用处。新技术、新工具、新漏洞层出不穷。你得紧跟最新发展,并持续更新你的方法。优秀的渗透测试合作伙伴会在他们的策略中融入较新的黑客技术。
07、不常做渗透测试
尽管年度渗透测试可能比较常见,但这并不能为你带来安宁。不常做的测试只能交出测试执行当时的防御情况。你得持续检测你的防御并反复测试,才能确保暴露出来的漏洞被恰当修复了。这是自动化渗透测试平台如此有效的又一个原因。
08、没能修复
确保渗透测试合作伙伴和自动化工具产生的报告有专人负责解读和响应。你必须排序所发现的问题,并及时着手解决。损失惨重的数据盗窃往往是公司企业未处理已知漏洞的结果。确保已发现漏洞得到妥善解决,应成为渗透测试的组成部分之一。
规划和执行都很糟糕的渗透测试非常危险。若想维持健壮的安全态势,必不能骄傲自满。
我要评论
网友评论
评论时间:2024-01-21 09:25:01
盈利预测及投资建议:预计公司2017-2019年EPS分别为0.60元、特价 云主机 0.83元和1.06元,对应当前股价PE分别为35倍、28倍和22倍;维持“增持”评级什么云主机便宜什么云服务器好 增持”评级
评论时间:2023-06-25 18:25:02
基于上述分析,我们预计公司2021年全年营收约为490亿人民币(下同),同虚拟主机用什么 比增长20%;归母净利润约为20亿,同比增长25%网吧服务器怎么安装 币(下同),同比增长20%;归母净利润约为20亿,同比增长25%
评论时间:2023-03-22 00:25:02
服务器租用多少钱一月 2个人电脑云主机 .高可靠性
评论时间:2023-01-25 03:25:02
在此背景下,国云主机和虚拟主机的区别是什么 内厂商纷纷布局云计算领域,并积极寻求转型升级虚拟主机评测网 极寻求转型升级
评论时间:2023-01-10 18:25:01
内存及网卡组成vps云主机购买 怎么租服务器 及网卡组成
评论时间:2022-10-11 21:25:02
我们预计公司在国内云计算领域市稳定虚拟主机 场份额仍有较大上华为刀片服务器 内云计算领域市场份额仍有较大上升空间
最新文章
2023-12-25 22:44:35 admin
活动发布区版规2023-05-27 22:03:52 御风而行
容器、无服务器、虚拟机:安全性差...2023-05-27 20:43:39 1356
服务器宕机的造成原因和解决方法介...2023-05-27 20:43:25 qingym
别糊涂了!服务器与工作站的五大区...2023-05-27 19:08:41 小绵羊0123
科技巨头布局云端 服务器 网络硬...2023-05-27 18:17:46 姐姐的跟屁虫
钉钉因系统访问流量激增,宕机1小...热门阅读
2022-07-23 00:34:02 freeatom
常见ftp命令 FTP命令使用详...2022-07-21 02:17:02 ares
双硬盘组建Raid0磁盘阵列图文...2022-07-20 06:17:02 mankeung123
用友软件客户端连接不上服务器的解...2022-07-23 00:51:02 antonfxb
WebService实例2022-07-13 05:38:02 苯小孩
开发、运维不可不看的Linux调...2022-07-20 18:51:02 nightstone
如何使用Charles抓取Web...随机文章
2021-12-27 05:38:01 terryzxc001
什么是双线托管,比较便宜的双线托...2022-01-12 05:38:03 wwwwycom
重庆双线服务器托管那家比较好2022-03-13 05:38:03 chockablock
Linux服务器配置与管理 PD...2022-07-19 03:34:02 chense
主要勒索软件使用的攻击工具和技术...2022-07-19 07:17:02 冷雨点枫
管理员可利用的4大开源自动化工具2022-07-19 10:51:03 zhg
网站运营常见问题热评文章
2022-07-19 20:17:02 dengyu0429
linux vi使用及详细介绍2022-07-20 01:00:05 激动的舌头
Linux视频教程:用户管理命令...2022-07-21 20:51:02 jessica-an
创建本地FTP站点2022-02-07 05:38:03 jasonkidd
WEB服务器配置详解2022-07-20 04:51:02 wolfssss
ACL权限-默认与递归(4)2022-07-22 15:00:05 淡水珊瑚
Linux下 Samba Ser...