点击上方蓝字关注伏宸区块链安全实验室
从攻击者的角度思考可以更快速了解企业在网络防御方面的不足。网络安全渗透测试工作的本质就是扮演攻击性黑客的角色,梳理企业的IT资产、寻找漏洞和攻击路径,以便更好地修复或应对风险。定期开展渗透测试对企业来说很宝贵,然而很多企业在准备制定渗透测试计划时,他们对渗透测试服务的理解和需求,往往与真实服务情况存在着很多偏差。本文梳理总结了企业在开展渗透测试工作时普遍存在的认知误区,并就如何避免这些错误给出了建议。
误区一 渗透测试总是主动发起的
开展渗透测试的主要目的是抢在攻击者之前发现系统的安全隐患和漏洞,因此渗透测试属于一种主动式的安全技术。但就具体的渗透测试工作而言,有时也会是被动发起的,例如当组织在调查网络攻击的原因时。在网络安全事件调查中,组织可以通过渗透测试以深入了解攻击的性质,并全面掌握该事件是如何发生的,采用的技术的是什么,以及攻击的动机是什么?因此,尽管大多数情况下,组织会主动执行测试以帮助防止违规行为。但渗透测试工作并不都是主动发起的,取证分析期间的渗透测试同样可以帮助企业了解发生了什么,从而帮助组织防止类似的事件再次发生。
误区二 渗透测试就是漏洞扫描
由于渗透测试和漏洞扫描都是为了识别潜在的威胁途径,因此很多人会将两者混为一谈。但实际上,漏洞扫描与管理主要包括识别和分类已知漏洞,生成需要注意的优先漏洞列表,并推荐修复它们的方法。而安全威胁非常多样,并不仅限于安全漏洞的利用。渗透测试侧重于模拟攻击者的行为,在服务完成后,测试人员需要生成一份详细报告,说明测试过程中是如何破坏安全性以达到先前商定的目标(例如破坏工资系统),并提供相应的威胁缓解方案。
误区三 渗透测试仅用于发现技术缺陷
渗透测试的目的是发现组织安全防护体系中的不足。在测试中,测试方可以应用包括社会工程方式在内的多种方法。因此,在渗透测试之前,通常会确定是否需要专门评估某项技术的安全性。在实际应用中,测试工程师可能会被授权做更多事情,例如扫描社交媒体以获取可利用的信息,或尝试通过电子邮件从用户那里获取敏感数据,甚至尝试欺骗获取用户的账号权限等。
误区四 所有渗透测试都大同小异
从本质上讲,渗透测试是一个主要依靠安全专家或团队以人工方式模仿攻击者的真实攻击行为,其目的是在数字化基础设施的不同层级找到进入可以攻破目标网络的最有效方法。根据测试方法和目标的不同,渗透测试通常分为外部测试、内部测试、盲测、针对性测试等。
很多企业为了节省成本,往往会选择收费更便宜的测试提供商和测试方式,并认为各种类型测试的结果会很相似,但事实并非如此。与大多数服务一样,渗透测试的程度差异很大,既有覆盖网络所有区域的广泛测试,也有针对网络中少数区域的非广泛测试。企业应该根据实际需求,专注于寻找从测试中获得的价值,而不是成本。
END
伏宸正在诚招培训课程顾问、销售实习生、安全服务工程师、渗透工程师等多种岗位!欢迎各路精英踊跃投递!
保持热爱,奔赴山海,知足上进不负野心!
欢迎积极向上,才华横溢的你~
联系方式:Hr杨小姐 13265133695(微信同号)
也可扫描下方小程序投递哦!
扫码关注
伏宸BOSS直聘
投递在招热门岗位
伏宸,让您的网络更好更安全!
伏宸区块链安全实验室
伏宸区块链安全实验室是佛山市伏宸信息科技有限公司旗下的专业实验室。我们公司成立于2018年9月,专注于区块链安全研究、安全产品开发、区块链安全检测与防护以及链上代码审计。作为一家专业的信息安全公司,我们为客户提供多项综合性的区块链安全保障服务和专业的网络安全保障服务,包括安全服务、安全产品和安全培训等。
我们的母公司为广东安创信息科技开发有限公司(以下简称"安创科技"),通过伏宸区块链安全实验室和我们母公司安创科技的协同作业,我们将不断创新和进步,为客户提供可靠的区块链安全解决方案和专业的网络安全服务。我们将致力于保护客户的信息资产,确保其在数字化时代的安全性和可靠性。
联系电话:0757-86309209
伏宸网站:https://www.futurebk.com/