日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
滲透測(cè)試評(píng)估風(fēng)險(xiǎn)的簡(jiǎn)要指南Part2

在上一篇文章中我們了解了風(fēng)險(xiǎn)評(píng)估的重要性,有效風(fēng)險(xiǎn)評(píng)估的三個(gè)階段以及滲透測(cè)試的三個(gè)類型。但是,滲透測(cè)試的風(fēng)險(xiǎn)也是存在的,下面讓我們深入的了解它們。

成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供白河企業(yè)網(wǎng)站建設(shè),專注與成都做網(wǎng)站、成都網(wǎng)站建設(shè)、H5響應(yīng)式網(wǎng)站、小程序制作等業(yè)務(wù)。10年已為白河眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

滲透測(cè)試要考慮的因素

如果由經(jīng)驗(yàn)不足的測(cè)試人員進(jìn)行或測(cè)試時(shí)出現(xiàn)錯(cuò)誤,則滲透測(cè)試帶來(lái)的損害可能大于收益。在進(jìn)行測(cè)試之前,您需要考慮此測(cè)試的主要缺點(diǎn)。

以下是一些關(guān)鍵的滲透測(cè)試風(fēng)險(xiǎn):

  • 為錯(cuò)誤操作付出高昂代價(jià)。滲透測(cè)試人員可以使用敏感數(shù)據(jù)和基礎(chǔ)架構(gòu)。如果測(cè)試未正確執(zhí)行,它們可能會(huì)使服務(wù)器崩潰并暴露或破壞數(shù)據(jù)。需要考慮的安全風(fēng)險(xiǎn),尤其是在黑盒測(cè)試期間。
  • 不合規(guī)的測(cè)試會(huì)讓結(jié)果產(chǎn)生偏移。如果您的安全團(tuán)隊(duì)知道即將進(jìn)行的測(cè)試或自己進(jìn)行測(cè)試,他們可能會(huì)事先為此做好準(zhǔn)備。任何安全評(píng)估的重點(diǎn)都是要按照規(guī)定的模式去實(shí)施的。如果在不合規(guī)的環(huán)境中進(jìn)行滲透測(cè)試,那所得到結(jié)果就沒(méi)有意義了。
  • 時(shí)間和范圍限制。與任何過(guò)程一樣,要進(jìn)行滲透測(cè)試是一項(xiàng)技術(shù)任務(wù),并且需要準(zhǔn)備報(bào)告的截止日期。這限制了滲透測(cè)試者可以使用的漏洞利用數(shù)量,特別是如果您雇用了第三方測(cè)試組織。另一方面,黑客通常沒(méi)有時(shí)間計(jì)劃攻擊。因此,您不能依靠滲透測(cè)試的一個(gè)實(shí)例來(lái)提高網(wǎng)絡(luò)安全性,尤其是在時(shí)間上受到嚴(yán)格限制的情況下。

不過(guò),盡管如此,滲透測(cè)試帶來(lái)的好處是大于風(fēng)險(xiǎn)。另外,有幾種最佳做法可以幫助您解決我們所討論的問(wèn)題。

獲得最佳測(cè)試結(jié)果

每個(gè)測(cè)試團(tuán)隊(duì)都有獨(dú)特的滲透測(cè)試方法,并且每個(gè)過(guò)程都有獨(dú)特的結(jié)果。我們準(zhǔn)備了一系列操作,可以幫助您從此安全評(píng)估中獲得最佳結(jié)果。

如何改善這一過(guò)程

1. 聘請(qǐng)合格的第三方進(jìn)行滲透測(cè)試

進(jìn)行內(nèi)部測(cè)試很誘人,因?yàn)樗梢怨?jié)省大量時(shí)間和金錢。但是,由于以下原因,它不能保證結(jié)果無(wú)偏見(jiàn):

  • 可能缺乏專業(yè)知識(shí)
  • 不合規(guī)性的存在
  • 無(wú)法模擬真實(shí)的攻擊

通過(guò)第三方組織,您將獲得專門的滲透測(cè)試人員,并獲得全新的安全控制手段。開(kāi)始進(jìn)行筆試之前,請(qǐng)與您的供應(yīng)商討論您的范圍、預(yù)算、時(shí)間限制和先前抗議的結(jié)果。

2. 力爭(zhēng)最大程度地覆蓋測(cè)試

任何環(huán)境都是不可分割的系統(tǒng),因此應(yīng)將其作為系統(tǒng)而不是獨(dú)立的部分進(jìn)行測(cè)試。如果您只測(cè)試并保護(hù)了一部分環(huán)境,則始終存在黑客仍然能夠通過(guò)操作系統(tǒng)、硬件或其他軟件中的漏洞訪問(wèn)該環(huán)境的風(fēng)險(xiǎn)。低測(cè)試覆蓋率和部分測(cè)試只會(huì)導(dǎo)致威脅依舊存在。只有在需要重新檢查滲透測(cè)試后制作安全補(bǔ)丁時(shí),才進(jìn)行此類測(cè)試是合理的。

3. 不要急于準(zhǔn)備測(cè)試

在攻擊前階段,測(cè)試人員評(píng)估漏洞,武器化自己并準(zhǔn)備測(cè)試方案。但是從測(cè)試團(tuán)隊(duì)外部來(lái)看,攻擊者攻擊時(shí),幾乎沒(méi)有什么準(zhǔn)備時(shí)間,一切以實(shí)際發(fā)生威脅的狀況進(jìn)行。可以不時(shí)詢問(wèn)測(cè)試過(guò)程,但是請(qǐng)確保不要急于準(zhǔn)備階段。請(qǐng)記住,這是一個(gè)耗時(shí)的過(guò)程。對(duì)于黑盒測(cè)試,此階段有時(shí)可能會(huì)占用總時(shí)長(zhǎng)的90%。

4. 使用相關(guān)的滲透測(cè)試標(biāo)準(zhǔn)

每個(gè)測(cè)試環(huán)境都需要一種獨(dú)特的方法。盡管如此,滲透測(cè)試仍有行業(yè)認(rèn)可的標(biāo)準(zhǔn)。使用這些標(biāo)準(zhǔn)來(lái)指導(dǎo)您的內(nèi)部團(tuán)隊(duì),或確保您的第三方供應(yīng)商使用它。最受歡迎的是:

  • 滲透測(cè)試執(zhí)行標(biāo)準(zhǔn)
  • OWASP Web應(yīng)用程序滲透性檢查表 [PDF]
  • PCI DSS滲透測(cè)試指南 [PDF]
  • CREST滲透測(cè)試指南 [PDF]

5. 進(jìn)行滲透測(cè)試時(shí)停止開(kāi)發(fā)過(guò)程

滲透測(cè)試可以發(fā)現(xiàn)某些環(huán)境下的威脅和風(fēng)險(xiǎn)。如果您決定在測(cè)試過(guò)程中更改現(xiàn)有參數(shù)或部署新軟件,則會(huì)影響最終結(jié)果。最好在測(cè)試之前完成您的開(kāi)發(fā)活動(dòng),以保證它包含在新測(cè)試范圍的環(huán)境中。

6. 測(cè)試后檢查安全措施和數(shù)據(jù)的完整性

測(cè)試之后,測(cè)試團(tuán)隊(duì)?wèi)?yīng)清除自己的足跡:關(guān)閉創(chuàng)建的后門程序、刪除利用腳本和臨時(shí)文件、反向設(shè)置更改等。但是,您應(yīng)仔細(xì)檢查以下內(nèi)容:

  • 為測(cè)試目的而創(chuàng)建的安全漏洞已關(guān)閉
  • 測(cè)試人員的用戶帳戶已刪除
  • 受損的憑證已更改

如果您選擇一個(gè)高技能的測(cè)試團(tuán)隊(duì),使用我們上面列出的做法,并實(shí)施控制措施以減輕發(fā)現(xiàn)的風(fēng)險(xiǎn),您的網(wǎng)絡(luò)安全將進(jìn)一步提高!

7. 不要忽略補(bǔ)救措施

滲透測(cè)試供應(yīng)商通常會(huì)在其報(bào)告中提供有關(guān)風(fēng)險(xiǎn)補(bǔ)救的建議。如果很少進(jìn)行滲透測(cè)試(一年或更短時(shí)間)或包含大量任務(wù),則可能會(huì)發(fā)現(xiàn)很多關(guān)鍵風(fēng)險(xiǎn),并且補(bǔ)救措施將需要大量時(shí)間和金錢。

當(dāng)然,為了降低成本,您可以推遲補(bǔ)救或僅解決最關(guān)鍵的問(wèn)題。但是,如果您覺(jué)得沒(méi)有足夠的資源來(lái)執(zhí)行滲透測(cè)試的結(jié)果,那么最好將自己局限于內(nèi)部漏洞掃描,而不是進(jìn)行全面滲透測(cè)試。

結(jié)論

風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理流程中難以執(zhí)行但至關(guān)重要的部分。它可以幫助您評(píng)估組織的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并確定其優(yōu)先級(jí)。進(jìn)行風(fēng)險(xiǎn)評(píng)估的方法很多,包括滲透測(cè)試、紅隊(duì)測(cè)試和基于風(fēng)險(xiǎn)的測(cè)試。但是不要懷疑此過(guò)程中滲透測(cè)試的重要性:它可以對(duì)安全控制進(jìn)行復(fù)雜的評(píng)估,并會(huì)模擬對(duì)受保護(hù)環(huán)境的真實(shí)攻擊。


網(wǎng)站標(biāo)題:滲透測(cè)試評(píng)估風(fēng)險(xiǎn)的簡(jiǎn)要指南Part2
鏈接分享:http://m.5511xx.com/article/dhhdcgg.html