所有CISO都至少知道一起渗透测试失败的案例。其中很多人能举出几起失败得很彻底的案例。因此,在管理此类事务过程中采纳最佳实践,就是很值得考虑的做法了。鉴于渗透测试在典型风险管理中所占的重要角色,这对现代企业安全团队来说十分重要。
以下建议,出自不同设置、不同环境和不同产业的渗透测试经验。每一条建议,都可以帮助安全团队充分利用测试的价值,同时减小出错的概率。
当你考虑涉及到攻击自身资产的渗透测试时,恰当的管理关注力就变得十分紧迫了。
关键点1:与渗透测试团队建立紧密关系
渗透测试员被赋予了对公司系统和基础设施的特别权限,他们会对公司特定弱点有着独特的理解和洞见。与测试团队人员,尤其是外部顾问们,发展一种信任关系,是最小化此敏感信息和知识不恰当处理风险的极佳方式。
关键点2:掌握渗透测试过程细节
对渗透测试细节一无所知,是监督团队失职或缺乏技术背景的症状。花点时间去了解渗透测试涉及的工具、技术、过程和发现,你会发现自己将测试结果转化为有意义行动的能力和洞见,都大幅提升了。
关键点3:为渗透测试员划定明确的边界条件
渗透测试的本质,涉及在目标系统中查找非预期功能或条件的创新性探索。除非测试员理解明确的边界(比如不能在任何生产系统中执行拒绝服务攻击),否则就存在他们捞过界的可能性。安全经理有责任确保这一情况不出现。
关键点4:用渗透测试呈现漏洞
获得拒绝承认良好安全重要性的业务部门或经理关注的一个强力技术,就是暴露出与他们的系统或应用直接关联的漏洞。面对漏洞的明显证据,很多团队都会马上重视起安全,更平滑地参与到需要他们协作的工作中。
关键点5:千万别用渗透测试来证明没有漏洞
或许,渗透测试活动负责人会犯的最严重的错误,就是将对渗透测试所发现漏洞的修复,错误理解为清除掉了所有的漏洞。就像所有的测试一样,渗透测试在呈现失误上非常棒,但却是证明不存在失误的糟糕方法。千万别把对渗透测试找出的某些漏洞的修复,混淆成了安全。这是要尽力避免的一种低级错误。