渗透测试评估风险的简要指导
发布时间:2022-08-02 11:21:36 所属栏目:安全 来源:互联网
导读:渗透测试要考虑的因素 如果由经验不足的测试人员进行或测试时出现错误,则渗透测试带来的损害可能大于收益。在进行测试之前,您需要考虑此测试的主要缺点。 如何改善这一过程 1. 聘请合格的第三方进行渗透测试 进行内部测试很诱人,因为它可以节省大量时间和
|
渗透测试要考虑的因素 如果由经验不足的测试人员进行或测试时出现错误,则渗透测试带来的损害可能大于收益。在进行测试之前,您需要考虑此测试的主要缺点。 如何改善这一过程 1. 聘请合格的第三方进行渗透测试 进行内部测试很诱人,因为它可以节省大量时间和金钱。但是,由于以下原因,它不能保证结果无偏见: 可能缺乏专业知识 不合规性的存在 无法模拟真实的攻击 通过第三方组织,您将获得专门的渗透测试人员,并获得全新的安全控制手段。开始进行笔试之前,请与您的供应商讨论您的范围、预算、时间限制和先前抗议的结果。  2. 力争最大程度地覆盖测试 任何环境都是不可分割的系统,因此应将其作为系统而不是独立的部分进行测试。如果您只测试并保护了一部分环境,则始终存在黑客仍然能够通过操作系统、硬件或其他软件中的漏洞访问该环境的风险。低测试覆盖率和部分测试只会导致威胁依旧存在。只有在需要重新检查渗透测试后制作安全补丁时,才进行此类测试是合理的。 3. 不要急于准备测试 在攻击前阶段,测试人员评估漏洞,武器化自己并准备测试方案。但是从测试团队外部来看,攻击者攻击时,几乎没有什么准备时间,一切以实际发生威胁的状况进行。可以不时询问测试过程,但是请确保不要急于准备阶段。请记住,这是一个耗时的过程。对于黑盒测试,此阶段有时可能会占用总时长的90%。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号