11月30日消息，考虑到过去几年全球范围内的漏洞数量，企业不能继续依赖被动安全。仅仅希望警报不响起并不是一种策略。相反，集团应该接受渗透测试。

对于那些不熟悉这个概念的人来说，一个典型的渗透测试项目包括一个渗透测试者戴上他们的 "恶人 "帽子并攻击一个目标，希望以恶意方的方式渗透到组织中。从那里，组织可以看到黑客可以获得多少访问权限，以及如果/当他们进入时他们可以对环境做什么。

要为您的企业选择合适的戊烷测试解决方案，您需要考虑各种因素。我们与几位网络安全专家进行了交流，以了解他们对这个话题的见解。

    Apatura联合创始人Tonimir Kisasondi  

选择远程劳动力保护任何渗透测试都是在范围定义、发现的问题数量以及分配的时间和预算之间进行权衡。考虑到这一点，如何才能从安全审查中获得最大的利益？

不要限制范围。真正的攻击者并不关心范围。确保您的安全审查不局限于非常狭窄的资产集，并确保它们涵盖您的所有资产、基础设施、应用程序甚至流程。如果攻击者攻破了那个定制开发的网络应用程序，再强硬的操作系统和服务也不会给你带来任何好处。或者，如果一个技术错误使你的数据库瘫痪，而你无法恢复你的备份。确保你的安全审查涵盖了你的所有资产。

考虑应该进行的测试的深度。使用测试来验证你的检测系统可以检测到正在进行的攻击，并且你可以追踪任何潜在的错误或其他方式，当有实际的知识专家攻击它时，你的应用程序崩溃。

选择正确的安全审查方法。虽然黑盒测试方法可能会提供可接受的结果，但通过查看运行应用程序的源代码或服务器可以发现很多问题。在选择渗透测试方法时，请考虑哪种类型的测试可以为您提供最有用的反馈类型。

    安全根源创始人Daniel Martin  

选择远程劳动力保护在考虑五测解决方案或合作伙伴之前，需要回答几个关键问题：

您的要求是什么？

您为什么需要进行渗透测试？

测试的目标是什么？

如果您无法回答这些问题，请在研究entesting解决方案或公司之前寻找外部帮助，以明确您的要求。

建立您的要求和期望。您需要了解并询问您需要帮助的内容--无论是戊测试、漏洞评估，还是开发团队的安全意识培训。

检查公司背景。他们是否在你的行业工作过，是否研究过与你的组织相关的技术？提前讨论他们的保险范围和法律文件。

一旦你确定了要求，请每个供应商解决这些问题。这将有助于您了解他们的方法，并了解他们对安全与您的业务需求之间关系的认识，包括不同评估和补救解决方案和策略所涉及的权衡。

您的供应商的方法应该与您的业务目标相一致。要求提供他们所开展的类似项目的例子，推送一份经过消毒的报告。最终的可交付成果应该独立存在，提供有关项目的完整信息：范围描述、高级执行摘要和详细的发现清单。它应该包括修复建议和支持信息，以验证团队的工作和验证修复后的缓解措施。

    进攻安全部首席内容和战略官Jim O'Gorman  

选择远程劳动力保护在安排渗透测试时，最重要的问题是，我希望从中达到什么目的？无论你的目标是在最短的时间内找到并消除尽可能多的问题，还是满足合规性要求，还是模拟针对你的组织的恶意方的行为，以发现 "最坏的情况 "等等，与服务提供商的沟通都是必不可少的。

这些目标中的许多目标会使其他的一些目标无法实现，所以你必须选择你的主要目标并专注于此。清晰地将你的需求传达给服务提供商，并询问他们能做什么来帮助你获得这个目标。如果他们有一个单一的饼干式的评估方法，不符合你的目标，他们不是你的供应商。

许多客户开始对他们想要实现的目标感到困惑--他们最终会得到服务提供商觉得想给他们的任何东西。只有你自己知道你的组织需要什么，你应该从一开始就清楚地传达这些需求。

    Rapid7安全服务副总裁Josh Wyatt  

选择远程劳动力保护首先，了解您的业务和业务风险很重要。与咨询服务合作可以帮助确定您的组织应该解决的风险，这种风险评估不仅有助于确定需要测试的内容，还有助于确定需要优先考虑的内容。

然后，可以设计一个行动计划，这个计划将有组织的资产和与之一致的渗透测试服务。还必须了解pentest解决方案中涵盖了哪些内容，哪些内容没有涵盖。同样重要的是，要了解如何将pentest结果在整个组织中实施。

由于渗透测试在范围和时间上都是有限的，它们往往不能识别所有的漏洞实例。因此，发现的结果不仅要补救，本身，而且应该将其作为模板和提示，以搜索漏洞可能表现出来的其他实例。渗透测试人员并不是在真空中工作--组织应该做好准备，在自身安全方面发挥积极作用。