渗透测试是故意试图从外部侵入系统以暴露其漏洞的做法。
渗透测试通常被称为道德或白帽黑客,是使用与网络骗子相同的工具和技术来暴露您系统和服务中的任何弱安全链路的做法。
它是什么?
渗透测试可以帮助确定系统是否容易受到攻击、防御系统是否充足,测试击败了哪些防御系统(如有)。
渗透测试旨在渗透目标系统,实现预定义的目标或场景集。这些有组织的攻击通常被描述为白盒(其中某些系统知识是事先知晓的,其可以模拟内部信息提供者提供的信息)或黑盒(对内部构件没有假设,但会扫描已知的漏洞)。灰盒渗透测试是两者的组合(可能从公司类型及其部署方式中知道或假设一些必要的信息)。
渗透测试发现的安全问题报告给系统负责人。从历史上看,这种性质的测试是在系统或升级上线前的验收测试阶段进行的。然而,我们强烈建议在整个开发生命周期内,在接近实际和完全运行的条件下,实施这一做法。
有何益处?
企业不能再使用“希望作为战略”来防止网络犯罪。这不只是使用病毒检测程序和防火墙的问题。通过在系统的整个生命周期中定期使用渗透测试并不断升级策略,渗透测试可以成为风险管理工具包的重要组成部分。
渗透测试可以降低业务关键系统以及处理敏感客户信息的系统中断或情况恶化的风险。
需考量的因素?
渗透测试可能耗时且成本高昂。您需要在这些成本和所述系统的商业价值之间取得适当的平衡。
许多现有的渗透测试人员和从业者都习惯于“安全三明治”法,即在项目开始时提出了要求,然后在完成时对其进行测试。我们认为这是个错误。
通过将渗透测试作为开发和部署过程的一部分,以及在整个生命周期中进行渗透测试,您可以降低泄漏风险。然而,这需要改变与渗透测试专家的接触模式,他们必须更靠近系统工作,并证明其安全程度。
如何应用?
它用于通过提前发现问题,实施缓解措施来保护内部系统。我们建议以持续和灵活的方式完成这项工作,以解决团队相应积压工作中发现的故障。
Would you like to suggest a topic to be decoded?
Just leave your email address and we'll be in touch the moment it's ready.