渗透测试很重要,但你真的做对了吗?我们不妨来看看渗透测试中常见的几种错误,谈谈该如何避免这些错误。
找出公司安全状态中缺陷和弱点的最有效方式之一,就是让第三方对自身系统展开有计划的攻击。渗透测试旨在暴露出公司防御上的缺口,以便公司能够在被恶意人士利用之前堵上这些缺口。有多种类型的渗透测试可以针对公司的不同方面。
网络罪犯针对公司的潜在攻击途径很多,从网络基础设施到应用程序,再到设备和员工。优秀的渗透测试合作伙伴会以开放性思维看待问题,尝试模拟恶意黑客,探测弱点,并运用各种技术和工具以突破你的网络。
尽管渗透测试被广泛认为是一种必要的安全防护手段,但却需要周密计划和专业执行。专业技能或经验的缺乏可导致不达标的渗透测试,不能揭示漏洞,令公司依旧暴露在攻击者火力范围内。
下面我们列出渗透测试中的几种常见错误姿势,并附上如何避免出错的建议。
01、未排序风险优先级
提升安全状态的要务之一,就是建立风险基线。必须识别出较大的风险在哪儿。此信息是确立渗透测试目标的基础。渗透测试总得有个目标,无论是客户数据、知识产权,还是公司财务数据。排序风险可以帮助公司将安全工作聚焦到能产生较大价值的地方。
考虑公司可能面临的最坏情况,然后围绕此最坏情况设置渗透测试目标。发现次要潜在问题可能很容易,但那会分散你对真正重要问题的注意力。
02、使用错误的工具
渗透测试工具多如牛毛,但知道哪种工具该用在哪里,清楚这些工具的正确配置方法,却需要大量的专业知识。如果你觉得可以买现成的渗透测试工具,交由内部 IT 团队执行,那你可能会面临重大的打击。除非你有极具经验的内部红队,否则你应该引入具备真正专业技能的第三方。
渗透测试员可能身价很高,你或许会短期聘用他们,所以,自动化工具值得考虑。自动化渗透测试平台是验证公司防御,赋予公司一定持续防护的良好方式。谨慎选择,并向你的第三方渗透测试合作伙伴寻求建议。
03、糟糕的报告
如果第三方渗透测试员的报告不具备可读性,就很难理解他们发现的漏洞,更别提了解这些漏洞对公司的潜在影响了。渗透测试报告应清晰阐述问题所在,表明不修复的潜在后果,并提出具体的修复方法。
没有清晰目标就开始测试,会对报告阶段产生不利影响,因为这么做很难识别出威胁战略性资产的真正关键攻击途径。良好报告应滤掉噪音和误报,突出对公司而言真正重要的东西。没有任何方向,大包大揽地堆出几千个漏洞的第三方或自动化工具就别引入了,面面俱到是不可能的。所以,确保你有重点突出的可执行计划,有明确的需要修复的漏洞列表。
04、照单划勾
如果你的渗透测试员在测试中抱有照单划勾的思想,那你很可能就会漏掉一些东西。尽管合规很重要,但这并不是你执行渗透测试的唯一原因。专注于勾掉项目会让你陷入一种虚假的安全感。网络罪犯可不是照着检查清单来执行攻击的。
05、干扰业务
合理规划渗透测试,考虑对重要业务系统的潜在影响。成功的黑客常在不干扰服务的情况下利用漏洞,你聘用的渗透测试员也应如此。如果测试在生产环境中执行,一定要明确这一点。黑盒测试场景,指的是渗透测试员不了解你基础设施的情况。这种情况下,渗透测试对业务产生干扰的风险更大。
06、使用过时技术
不与时俱进的渗透测试计划,很快就会毫无用处。新技术、新工具、新漏洞层出不穷。你得紧跟最新发展,并持续更新你的方法。优秀的渗透测试合作伙伴会在他们的策略中融入较新的黑客技术。
07、不常做渗透测试
尽管年度渗透测试可能比较常见,但这并不能为你带来安宁。不常做的测试只能交出测试执行当时的防御情况。你得持续检测你的防御并反复测试,才能确保暴露出来的漏洞被恰当修复了。这是自动化渗透测试平台如此有效的又一个原因。
08、没能修复
确保渗透测试合作伙伴和自动化工具产生的报告有专人负责解读和响应。你必须排序所发现的问题,并及时着手解决。损失惨重的数据盗窃往往是公司企业未处理已知漏洞的结果。确保已发现漏洞得到妥善解决,应成为渗透测试的组成部分之一。
规划和执行都很糟糕的渗透测试非常危险。若想维持健壮的安全态势,必不能骄傲自满。