400-638-8808
|
微信公众号
所有CISO都至少知道一起渗透测试失败的案例。其中很多人能举出几起失败得很彻底的案例。因此,在管理此类事务过程中采纳最佳实践,就是很值得考虑的做法了。鉴于渗透测试在典型风险管理中所占的重要角色,这对现代企业安全团队来说十分重要。
以下建议,出自不同设置、不同环境和不同产业的渗透测试经验。每一条建议,都可以帮助安全团队充分利用测试的价值,同时减小出错的概率。
当你考虑涉及到攻击自身资产的渗透测试时,恰当的管理关注力就变得十分紧迫了。
关键点1:与渗透测试团队建立紧密关系
渗透测试员被赋予了对公司系统和基础设施的特别权限,他们会对公司特定弱点有着独特的理解和洞见。与测试团队人员,尤其是外部顾问们,发展一种信任关系,是最小化此敏感信息和知识不恰当处理风险的极佳方式。
关键点2:掌握渗透测试过程细节
对渗透测试细节一无所知,是监督团队失职或缺乏技术背景的症状。花点时间去了解渗透测试涉及的工具、技术、过程和发现,你会发现自己将测试结果转化为有意义行动的能力和洞见,都大幅提升了。
关键点3:为渗透测试员划定明确的边界条件
渗透测试的本质,涉及在目标系统中查找非预期功能或条件的创新性探索。除非测试员理解明确的边界(比如不能在任何生产系统中执行拒绝服务攻击),否则就存在他们捞过界的可能性。安全经理有责任确保这一情况不出现。
关键点4:用渗透测试呈现漏洞
获得拒绝承认良好安全重要性的业务部门或经理关注的一个强力技术,就是暴露出与他们的系统或应用直接关联的漏洞。面对漏洞的明显证据,很多团队都会马上重视起安全,更平滑地参与到需要他们协作的工作中。
关键点5:千万别用渗透测试来证明没有漏洞
或许,渗透测试活动负责人会犯的最严重的错误,就是将对渗透测试所发现漏洞的修复,错误理解为清除掉了所有的漏洞。就像所有的测试一样,渗透测试在呈现失误上非常棒,但却是证明不存在失误的糟糕方法。千万别把对渗透测试找出的某些漏洞的修复,混淆成了安全。这是要尽力避免的一种低级错误。
天下数据高级渗透测试服务,针对安卓应用,iOS应用,网页应用,微信服务号,小程序等提供专门的检测方案,层层渗透;天下数据高级渗透测试,Web应用全面检测,蛛丝马迹绝不遗漏。如果您需要高级渗透测试服务,可以联系天下数据客服!电话:400-6388-808
上一篇 :如何选择合适的企业存储
天下数据手机站 关于天下数据 联系我们 诚聘英才 付款方式 帮助中心 网站备案 解决方案 域名注册 网站地图
天下数据18年专注海外香港服务器、美国服务器、海外云主机、海外vps主机租用托管以及服务器解决方案-做天下最好的IDC服务商
《中华人民共和国增值电信业务经营许可证》 ISP证:粤ICP备07026347号
朗信天下发展有限公司(控股)深圳市朗玥科技有限公司(运营)联合版权
深圳总部:中国.深圳市南山区深圳国际创新谷6栋B座10层 香港总部:香港上環蘇杭街49-51號建安商業大廈7樓
7×24小时服务热线:4006388808香港服务电话:+852 67031102
本网站的域名注册业务代理北京新网数码信息技术有限公司的产品