11月30日消息,考虑到过去几年全球范围内的漏洞数量,企业不能继续依赖被动安全。仅仅希望警报不响起并不是一种策略。相反,集团应该接受渗透测试。
对于那些不熟悉这个概念的人来说,一个典型的渗透测试项目包括一个渗透测试者戴上他们的 "恶人 "帽子并攻击一个目标,希望以恶意方的方式渗透到组织中。从那里,组织可以看到黑客可以获得多少访问权限,以及如果/当他们进入时他们可以对环境做什么。
要为您的企业选择合适的戊烷测试解决方案,您需要考虑各种因素。我们与几位网络安全专家进行了交流,以了解他们对这个话题的见解。
Apatura联合创始人Tonimir Kisasondi
选择远程劳动力保护任何渗透测试都是在范围定义、发现的问题数量以及分配的时间和预算之间进行权衡。考虑到这一点,如何才能从安全审查中获得最大的利益?
不要限制范围。真正的攻击者并不关心范围。确保您的安全审查不局限于非常狭窄的资产集,并确保它们涵盖您的所有资产、基础设施、应用程序甚至流程。如果攻击者攻破了那个定制开发的网络应用程序,再强硬的操作系统和服务也不会给你带来任何好处。或者,如果一个技术错误使你的数据库瘫痪,而你无法恢复你的备份。确保你的安全审查涵盖了你的所有资产。
考虑应该进行的测试的深度。使用测试来验证你的检测系统可以检测到正在进行的攻击,并且你可以追踪任何潜在的错误或其他方式,当有实际的知识专家攻击它时,你的应用程序崩溃。
选择正确的安全审查方法。虽然黑盒测试方法可能会提供可接受的结果,但通过查看运行应用程序的源代码或服务器可以发现很多问题。在选择渗透测试方法时,请考虑哪种类型的测试可以为您提供最有用的反馈类型。
安全根源创始人Daniel Martin
选择远程劳动力保护在考虑五测解决方案或合作伙伴之前,需要回答几个关键问题:
您的要求是什么?
您为什么需要进行渗透测试?
测试的目标是什么?
如果您无法回答这些问题,请在研究entesting解决方案或公司之前寻找外部帮助,以明确您的要求。
建立您的要求和期望。您需要了解并询问您需要帮助的内容--无论是戊测试、漏洞评估,还是开发团队的安全意识培训。
检查公司背景。他们是否在你的行业工作过,是否研究过与你的组织相关的技术?提前讨论他们的保险范围和法律文件。
一旦你确定了要求,请每个供应商解决这些问题。这将有助于您了解他们的方法,并了解他们对安全与您的业务需求之间关系的认识,包括不同评估和补救解决方案和策略所涉及的权衡。
您的供应商的方法应该与您的业务目标相一致。要求提供他们所开展的类似项目的例子,推送一份经过消毒的报告。最终的可交付成果应该独立存在,提供有关项目的完整信息:范围描述、高级执行摘要和详细的发现清单。它应该包括修复建议和支持信息,以验证团队的工作和验证修复后的缓解措施。
进攻安全部首席内容和战略官Jim O'Gorman
选择远程劳动力保护在安排渗透测试时,最重要的问题是,我希望从中达到什么目的?无论你的目标是在最短的时间内找到并消除尽可能多的问题,还是满足合规性要求,还是模拟针对你的组织的恶意方的行为,以发现 "最坏的情况 "等等,与服务提供商的沟通都是必不可少的。
这些目标中的许多目标会使其他的一些目标无法实现,所以你必须选择你的主要目标并专注于此。清晰地将你的需求传达给服务提供商,并询问他们能做什么来帮助你获得这个目标。如果他们有一个单一的饼干式的评估方法,不符合你的目标,他们不是你的供应商。
许多客户开始对他们想要实现的目标感到困惑--他们最终会得到服务提供商觉得想给他们的任何东西。只有你自己知道你的组织需要什么,你应该从一开始就清楚地传达这些需求。
Rapid7安全服务副总裁Josh Wyatt
选择远程劳动力保护首先,了解您的业务和业务风险很重要。与咨询服务合作可以帮助确定您的组织应该解决的风险,这种风险评估不仅有助于确定需要测试的内容,还有助于确定需要优先考虑的内容。
然后,可以设计一个行动计划,这个计划将有组织的资产和与之一致的渗透测试服务。还必须了解pentest解决方案中涵盖了哪些内容,哪些内容没有涵盖。同样重要的是,要了解如何将pentest结果在整个组织中实施。
由于渗透测试在范围和时间上都是有限的,它们往往不能识别所有的漏洞实例。因此,发现的结果不仅要补救,本身,而且应该将其作为模板和提示,以搜索漏洞可能表现出来的其他实例。渗透测试人员并不是在真空中工作--组织应该做好准备,在自身安全方面发挥积极作用。