滲透測試的八種錯(cuò)誤姿勢

滲透測試對于網絡安全檢測十分重要,但是你之前都做對了嗎(ma).其實滲透測試中常常會(huì)出現八種錯(cuò)誤姿勢,你是否有注意呢(ne).

2020-03-10 14:50:05上海通燎網絡科技有限公司2075

滲透測試對于網絡安全檢測十分重要，但是你之前都做對了嗎(ma)？其實滲透測試中常常會(huì)出現八種錯(cuò)誤姿勢，你是否有注意呢(ne)？

01未排序風險優先級

提升安全狀态的要務之一(yī)，就(jiù)是建立風險基線。必須識别出大風險在哪兒。此信息是确立滲透測試目标的基礎。滲透測試總得有個(gè)目标，無論是客戶數據、知識産權，還(hái)是公司财務數據。排序風險可以幫助公司将安全工(gōng)作聚焦到(dào)能(néng)産生(shēng)大價值的地方。

考慮公司可能(néng)面臨的壞情況，然後圍繞此壞情況設置滲透測試目标。發現次要潛在問題可能(néng)很容易，但那會(huì)分散你對真正重要問題的注意力。

02使用錯(cuò)誤的工(gōng)具

滲透測試工(gōng)具多(duō)如牛毛，但知道哪種工(gōng)具該用在哪裡(lǐ)，清楚這些工(gōng)具的正确配置方法，卻需要大量的專業(yè)知識。如果你覺得可以買現成的滲透測試工(gōng)具，交由内部 IT 團隊執行，那你可能(néng)會(huì)面臨重大的打擊。除非你有極具經驗的内部紅(hóng)隊，否則你應該引入具備真正專業(yè)技(jì)能(néng)的第三方。

滲透測試員(yuán)可能(néng)身價很高(gāo)，你或許會(huì)短期聘用他們，所以，自(zì)動化工(gōng)具值得考慮。自(zì)動化滲透測試平台是驗證公司防禦，賦予公司一(yī)定持續防護的良好方式。謹慎選擇，并向你的第三方滲透測試合作夥伴尋求建議。

03糟糕的報(bào)告

如果第三方滲透測試員(yuán)的報(bào)告不具備可讀(dú)性，就(jiù)很難理解他們發現的漏洞，更别提了解這些漏洞對公司的潛在影響了。滲透測試報(bào)告應清晰闡述問題所在，表明不修複的潛在後果，并提出具體的修複方法。

沒有清晰目标就(jiù)開(kāi)始測試，會(huì)對報(bào)告階段産生(shēng)不利影響，因為(wèi)這麽做很難識别出威脅戰略性資産的真正關鍵攻擊途徑。良好報(bào)告應濾掉噪音(yīn)和誤報(bào)，突出對公司而言真正重要的東西(xī)。沒有任何方向，大包大攬地堆出幾千個(gè)漏洞的第三方或自(zì)動化工(gōng)具就(jiù)别引入了，面面俱到(dào)是不可能(néng)的。所以，确保你有重點突出的可執行計劃，有明确的需要修複的漏洞列表。

04照(zhào)單劃勾

如果你的滲透測試員(yuán)在測試中抱有照(zhào)單劃勾的思想，那你很可能(néng)就(jiù)會(huì)漏掉一(yī)些東西(xī)。盡管合規很重要，但這并不是你執行滲透測試的單一(yī)原因。專注于勾掉項目會(huì)讓你陷入一(yī)種虛假的安全感。網絡罪犯可不是照(zhào)著(zhe)檢查清單來執行攻擊的。

05幹擾業(yè)務

合理規劃滲透測試，考慮對重要業(yè)務系統的潛在影響。成功的黑(hēi)客常在不幹擾服務的情況下(xià)利用漏洞，你聘用的滲透測試員(yuán)也應如此。如果測試在生(shēng)産環境中執行，一(yī)定要明确這一(yī)點。黑(hēi)盒測試場景，指的是滲透測試員(yuán)不了解你基礎設施的情況。這種情況下(xià)，滲透測試對業(yè)務産生(shēng)幹擾的風險更大。

06使用過時技(jì)術(shù)

不與時俱進的滲透測試計劃，很快就(jiù)會(huì)毫無用處。新技(jì)術(shù)、新工(gōng)具、新漏洞層出不窮。你得緊跟新發展，并持續更新你的方法。專業(yè)的滲透測試合作夥伴會(huì)在他們的策略中融入較新的黑(hēi)客技(jì)術(shù)。

07不常做滲透測試

盡管年(nián)度滲透測試可能(néng)比較常見(jiàn)，但這并不能(néng)為(wèi)你帶來安甯。不常做的測試隻能(néng)交出測試執行當時的防禦情況。你得持續檢測你的防禦并反複測試，才能(néng)确保暴露出來的漏洞被恰當修複了。這是自(zì)動化滲透測試平台如此有效的又(yòu)一(yī)個(gè)原因。

08沒能(néng)修複

确保滲透測試合作夥伴和自(zì)動化工(gōng)具産生(shēng)的報(bào)告有專人負責解讀(dú)和響應。你必須排序所發現的問題，并及時著(zhe)手解決。損失慘重的數據盜竊往往是公司企業(yè)未處理已知漏洞的結果。确保已發現漏洞得到(dào)妥善解決，應成為(wèi)滲透測試的組成部分之一(yī)。

避免以上(shàng)8種錯(cuò)誤姿勢，正确維護網絡安全。上海通燎網絡科技有限公司專注于為(wèi)企業(yè)提供信息安全解決方案的技(jì)術(shù)服務公司。關注我們帶你了解更多(duō)信息安全知識。