网络专家告诉你如何为你的业务选择渗透测试解决方案

11月30日消息,考虑到过去几年全球范围内的漏洞数量,企业不能继续依赖被动安全。仅仅希望警报不响起并不是一种策略。相反,集团应该接受渗透测试。


对于那些不熟悉这个概念的人来说,一个典型的渗透测试项目包括一个渗透测试者戴上他们的 "恶人 "帽子并攻击一个目标,希望以恶意方的方式渗透到组织中。从那里,组织可以看到黑客可以获得多少访问权限,以及如果/当他们进入时他们可以对环境做什么。


要为您的企业选择合适的戊烷测试解决方案,您需要考虑各种因素。我们与几位网络安全专家进行了交流,以了解他们对这个话题的见解。


    Apatura联合创始人Tonimir Kisasondi  

   
 

    网络专家告诉你如何为你的业务选择渗透测试解决方案_金融商务_银行AI  
 


选择远程劳动力保护任何渗透测试都是在范围定义、发现的问题数量以及分配的时间和预算之间进行权衡。考虑到这一点,如何才能从安全审查中获得最大的利益?


不要限制范围。真正的攻击者并不关心范围。确保您的安全审查不局限于非常狭窄的资产集,并确保它们涵盖您的所有资产、基础设施、应用程序甚至流程。如果攻击者攻破了那个定制开发的网络应用程序,再强硬的操作系统和服务也不会给你带来任何好处。或者,如果一个技术错误使你的数据库瘫痪,而你无法恢复你的备份。确保你的安全审查涵盖了你的所有资产。


考虑应该进行的测试的深度。使用测试来验证你的检测系统可以检测到正在进行的攻击,并且你可以追踪任何潜在的错误或其他方式,当有实际的知识专家攻击它时,你的应用程序崩溃。


选择正确的安全审查方法。虽然黑盒测试方法可能会提供可接受的结果,但通过查看运行应用程序的源代码或服务器可以发现很多问题。在选择渗透测试方法时,请考虑哪种类型的测试可以为您提供最有用的反馈类型。


    安全根源创始人Daniel Martin  


选择远程劳动力保护在考虑五测解决方案或合作伙伴之前,需要回答几个关键问题:


您的要求是什么?


您为什么需要进行渗透测试?


测试的目标是什么?


如果您无法回答这些问题,请在研究entesting解决方案或公司之前寻找外部帮助,以明确您的要求。


建立您的要求和期望。您需要了解并询问您需要帮助的内容--无论是戊测试、漏洞评估,还是开发团队的安全意识培训。


检查公司背景。他们是否在你的行业工作过,是否研究过与你的组织相关的技术?提前讨论他们的保险范围和法律文件。


一旦你确定了要求,请每个供应商解决这些问题。这将有助于您了解他们的方法,并了解他们对安全与您的业务需求之间关系的认识,包括不同评估和补救解决方案和策略所涉及的权衡。


您的供应商的方法应该与您的业务目标相一致。要求提供他们所开展的类似项目的例子,推送一份经过消毒的报告。最终的可交付成果应该独立存在,提供有关项目的完整信息:范围描述、高级执行摘要和详细的发现清单。它应该包括修复建议和支持信息,以验证团队的工作和验证修复后的缓解措施。


    进攻安全部首席内容和战略官Jim O'Gorman  


选择远程劳动力保护在安排渗透测试时,最重要的问题是,我希望从中达到什么目的?无论你的目标是在最短的时间内找到并消除尽可能多的问题,还是满足合规性要求,还是模拟针对你的组织的恶意方的行为,以发现 "最坏的情况 "等等,与服务提供商的沟通都是必不可少的。


这些目标中的许多目标会使其他的一些目标无法实现,所以你必须选择你的主要目标并专注于此。清晰地将你的需求传达给服务提供商,并询问他们能做什么来帮助你获得这个目标。如果他们有一个单一的饼干式的评估方法,不符合你的目标,他们不是你的供应商。


许多客户开始对他们想要实现的目标感到困惑--他们最终会得到服务提供商觉得想给他们的任何东西。只有你自己知道你的组织需要什么,你应该从一开始就清楚地传达这些需求。


    Rapid7安全服务副总裁Josh Wyatt  


选择远程劳动力保护首先,了解您的业务和业务风险很重要。与咨询服务合作可以帮助确定您的组织应该解决的风险,这种风险评估不仅有助于确定需要测试的内容,还有助于确定需要优先考虑的内容。


然后,可以设计一个行动计划,这个计划将有组织的资产和与之一致的渗透测试服务。还必须了解pentest解决方案中涵盖了哪些内容,哪些内容没有涵盖。同样重要的是,要了解如何将pentest结果在整个组织中实施。


由于渗透测试在范围和时间上都是有限的,它们往往不能识别所有的漏洞实例。因此,发现的结果不仅要补救,本身,而且应该将其作为模板和提示,以搜索漏洞可能表现出来的其他实例。渗透测试人员并不是在真空中工作--组织应该做好准备,在自身安全方面发挥积极作用。

89
78
0
25

相关资讯

  1. 1、新玩法揭秘《最无双》英雄争霸等你来战3695
  2. 2、仙缘幻剑神兵系统登场赚足你的眼球再说3884
  3. 3、《六扇门》手游iOS上线首战告捷获动作类游戏推荐1512
  4. 4、《全民奇迹MU》有情人终成眷属每天都是情人节1624
  5. 5、战出一个新时代《永恒仙域》新版本玩家新感受2798
  6. 6、新手福利来了《国战天下》武将如何组合才厉害4194
  7. 7、《偷星九月天》愚人节盘点整蛊高手排行4189
  8. 8、《烈焰龙城》魂珠系统初探此珠在手一刀9991414
  9. 9、2月5日《海岛争霸》安卓测试火爆开启霸主之位等你1850
  10. 10、超神吧英雄礼包怎么使用兑换码使用教程166
全部评论(0)
我也有话说
0
收藏
点赞
顶部