黑基网 首页 学院 网络安全 查看内容

最大化渗透测试效果的5个关键点

2017-9-5 01:18| 投稿: xiaotiger |来自: 互联网

摘要: 所有CISO都至少知道一起渗透测试失败的案例。其中很多人能举出几起失败得很彻底的案例。因此,在管理此类事务过程中采纳最佳实践,就是很值得考虑的做法了。鉴于渗透测试在典型风险管理中所占的重要角色,这对现代企 ...

所有CISO都至少知道一起渗透测试失败的案例。其中很多人能举出几起失败得很彻底的案例。因此,在管理此类事务过程中采纳最佳实践,就是很值得考虑的做法了。鉴于渗透测试在典型风险管理中所占的重要角色,这对现代企业安全团队来说十分重要。

以下建议,出自不同设置、不同环境和不同产业的渗透测试经验。每一条建议,都可以帮助安全团队充分利用测试的价值,同时减小出错的概率。

当你考虑涉及到攻击自身资产的渗透测试时,恰当的管理关注力就变得十分紧迫了。

关键点1:与渗透测试团队建立紧密关系

渗透测试员被赋予了对公司系统和基础设施的特别权限,他们会对公司特定弱点有着独特的理解和洞见。与测试团队人员,尤其是外部顾问们,发展一种信任关系,是最小化此敏感信息和知识不恰当处理风险的极佳方式。

关键点2:掌握渗透测试过程细节

对渗透测试细节一无所知,是监督团队失职或缺乏技术背景的症状。花点时间去了解渗透测试涉及的工具、技术、过程和发现,你会发现自己将测试结果转化为有意义行动的能力和洞见,都大幅提升了。

关键点3:为渗透测试员划定明确的边界条件

渗透测试的本质,涉及在目标系统中查找非预期功能或条件的创新性探索。除非测试员理解明确的边界(比如不能在任何生产系统中执行拒绝服务攻击),否则就存在他们捞过界的可能性。安全经理有责任确保这一情况不出现。

关键点4:用渗透测试呈现漏洞

获得拒绝承认良好安全重要性的业务部门或经理关注的一个强力技术,就是暴露出与他们的系统或应用直接关联的漏洞。面对漏洞的明显证据,很多团队都会马上重视起安全,更平滑地参与到需要他们协作的工作中。

关键点5:千万别用渗透测试来证明没有漏洞

或许,渗透测试活动负责人会犯的最严重的错误,就是将对渗透测试所发现漏洞的修复,错误理解为清除掉了所有的漏洞。就像所有的测试一样,渗透测试在呈现失误上非常棒,但却是证明不存在失误的糟糕方法。千万别把对渗透测试找出的某些漏洞的修复,混淆成了安全。这是要尽力避免的一种低级错误。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:http://www.toutiao.com/i6461447268498145805/

免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部