滲透測試的(de)八種錯誤姿勢

滲透測試對(duì)于網絡安全檢測十分(fēn)重要，但是你之前都做(zuò)對(duì)了(le)嗎？其實滲透測試中常常會出現八種錯誤姿勢，你是否有注意呢(ne)？

01未排序風險優先級

提升安全狀态的(de)要務之一，就是建立風險基線。必須識别出大(dà)風險在哪兒(ér)。此信息是确立滲透測試目标的(de)基礎。滲透測試總得(de)有個(gè)目标，無論是客戶數據、知識産權，還(hái)是公司财務數據。排序風險可(kě)以幫助公司将安全工作聚焦到能産生大(dà)價值的(de)地方。

考慮公司可(kě)能面臨的(de)壞情況，然後圍繞此壞情況設置滲透測試目标。發現次要潛在問題可(kě)能很容易，但那會分(fēn)散你對(duì)真正重要問題的(de)注意力。

02使用(yòng)錯誤的(de)工具

滲透測試工具多(duō)如牛毛，但知道哪種工具該用(yòng)在哪裏，清楚這(zhè)些工具的(de)正确配置方法，卻需要大(dà)量的(de)專業知識。如果你覺得(de)可(kě)以買現成的(de)滲透測試工具，交由内部 IT 團隊執行，那你可(kě)能會面臨重大(dà)的(de)打擊。除非你有極具經驗的(de)内部紅隊，否則你應該引入具備真正專業技能的(de)第三方。

滲透測試員(yuán)可(kě)能身價很高(gāo)，你或許會短期聘用(yòng)他(tā)們，所以，自動化(huà)工具值得(de)考慮。自動化(huà)滲透測試平台是驗證公司防禦，賦予公司一定持續防護的(de)良好方式。謹慎選擇，并向你的(de)第三方滲透測試合作夥伴尋求建議(yì)。

03糟糕的(de)報告

如果第三方滲透測試員(yuán)的(de)報告不具備可(kě)讀性，就很難理(lǐ)解他(tā)們發現的(de)漏洞，更别提了(le)解這(zhè)些漏洞對(duì)公司的(de)潛在影(yǐng)響了(le)。滲透測試報告應清晰闡述問題所在，表明(míng)不修複的(de)潛在後果，并提出具體的(de)修複方法。

沒有清晰目标就開始測試，會對(duì)報告階段産生不利影(yǐng)響，因爲這(zhè)麽做(zuò)很難識别出威脅戰略性資産的(de)真正關鍵攻擊途徑。良好報告應濾掉噪音(yīn)和(hé)誤報，突出對(duì)公司而言真正重要的(de)東西。沒有任何方向，大(dà)包大(dà)攬地堆出幾千個(gè)漏洞的(de)第三方或自動化(huà)工具就别引入了(le)，面面俱到是不可(kě)能的(de)。所以，确保你有重點突出的(de)可(kě)執行計劃，有明(míng)确的(de)需要修複的(de)漏洞列表。

04照(zhào)單劃勾

如果你的(de)滲透測試員(yuán)在測試中抱有照(zhào)單劃勾的(de)思想，那你很可(kě)能就會漏掉一些東西。盡管合規很重要，但這(zhè)并不是你執行滲透測試的(de)單一原因。專注于勾掉項目會讓你陷入一種虛假的(de)安全感。網絡罪犯可(kě)不是照(zhào)著(zhe)檢查清單來(lái)執行攻擊的(de)。

05幹擾業務

合理(lǐ)規劃滲透測試，考慮對(duì)重要業務系統的(de)潛在影(yǐng)響。成功的(de)黑(hēi)客常在不幹擾服務的(de)情況下(xià)利用(yòng)漏洞，你聘用(yòng)的(de)滲透測試員(yuán)也(yě)應如此。如果測試在生産環境中執行，一定要明(míng)确這(zhè)一點。黑(hēi)盒測試場(chǎng)景，指的(de)是滲透測試員(yuán)不了(le)解你基礎設施的(de)情況。這(zhè)種情況下(xià)，滲透測試對(duì)業務産生幹擾的(de)風險更大(dà)。

06使用(yòng)過時(shí)技術

不與時(shí)俱進的(de)滲透測試計劃，很快(kuài)就會毫無用(yòng)處。新技術、新工具、新漏洞層出不窮。你得(de)緊跟新發展，并持續更新你的(de)方法。專業的(de)滲透測試合作夥伴會在他(tā)們的(de)策略中融入較新的(de)黑(hēi)客技術。

07不常做(zuò)滲透測試

盡管年度滲透測試可(kě)能比較常見，但這(zhè)并不能爲你帶來(lái)安甯。不常做(zuò)的(de)測試隻能交出測試執行當時(shí)的(de)防禦情況。你得(de)持續檢測你的(de)防禦并反複測試，才能确保暴露出來(lái)的(de)漏洞被恰當修複了(le)。這(zhè)是自動化(huà)滲透測試平台如此有效的(de)又一個(gè)原因。

08沒能修複

确保滲透測試合作夥伴和(hé)自動化(huà)工具産生的(de)報告有專人(rén)負責解讀和(hé)響應。你必須排序所發現的(de)問題，并及時(shí)著(zhe)手解決。損失慘重的(de)數據盜竊往往是公司企業未處理(lǐ)已知漏洞的(de)結果。确保已發現漏洞得(de)到妥善解決，應成爲滲透測試的(de)組成部分(fēn)之一。

避免以上8種錯誤姿勢，正确維護網絡安全。上海觀初網絡科技有限公司專注于爲企業提供信息安全解決方案的(de)技術服務公司。關注我們帶你了(le)解更多(duō)信息安全知識。