在上一篇文章中,我们了解了风险评估的重要性、有效风险评估的三个阶段以及渗透测试的三种类型。但是,渗透测试的风险也是存在的,让我们深入了解一下。渗透测试注意事项如果由缺乏经验的测试人员执行渗透测试或出现错误,渗透测试弊大于利。在参加考试之前,您需要考虑该考试的主要缺点。以下是一些主要的渗透测试风险:为错误付出高昂代价。渗透测试人员可以访问敏感数据和基础设施。如果测试没有正确执行,它们可能会使服务器崩溃并暴露或损坏数据。需要考虑的安全风险,尤其是在黑盒测试期间。不合规的测试可能会扭曲结果。如果您的安全团队知道即将进行的测试或自己进行测试,他们可能会事先做好准备。任何安全评估的重点都是按照规定的模型实施。在不合规的环境中进行渗透测试是没有意义的。时间和范围限制。与任何过程一样,进行渗透测试是一项技术任务,需要在截止日期前准备报告。这限制了渗透测试人员可用的漏洞数量,尤其是在您雇用第三方测试机构的情况下。另一方面,黑客通常没有时间计划攻击。因此,您不能依赖渗透测试的一个实例来提高网络安全性,尤其是在时间受到严格限制的情况下。然而,尽管如此,渗透测试的好处大于风险。此外,还有一些最佳实践可以帮助您解决我们讨论过的问题。获得最佳测试结果每个测试团队都有独特的渗透测试方法,每个过程都有独特的结果。我们准备了一系列操作,可帮助您从该安全评估中获得最佳结果。如何改进流程1.聘请合格的第3方渗透测试人员进行内部测试很有吸引力,因为它可以节省大量时间和金钱。但是,由于以下原因,它不能保证公正的结果:可能缺乏专业知识存在不合规无法模拟真实世界的攻击通过第三方组织,您可以获得专门的渗透测试人员并获得全新的安全控制。在开始笔试之前,与您的提供者讨论您的范围、预算、时间限制和先前抗议的结果。2.争取最大的测试覆盖率任何环境都是一个不可分割的系统,因此应该作为一个系统而不是作为独立的部分进行测试。如果您只测试和保护您环境的一部分,黑客仍然可以通过操作系统、硬件或其他软件中的漏洞访问它的风险始终存在。低测试覆盖率和部分测试只会导致威胁持续存在。只有在进行渗透测试后需要重新检查安全补丁时,才进行此类测试是合理的。3.不要急于准备测试在攻击前阶段,测试人员评估漏洞,武装自己并准备测试场景。但在测试团队之外,当攻击者发动攻击时,几乎没有任何准备时间,一切都在实际威胁情况下进行。不时询问测试过程是可以的,但确保不要匆忙进入准备阶段。请记住,这是一个耗时的过程。对于黑盒测试,这个阶段有时会占用总时间的90%。4.使用相关的渗透测试标准每个测试环境都需要独特的方法。尽管如此,仍有行业认可的渗透测试标准。使用这些标准来指导您的内部团队,或确保您的第三方供应商使用它。最流行的是:渗透测试执行标准OWASPWeb应用程序渗透检查表[PDF]PCIDSS渗透测试指南[PDF]CREST渗透测试指南[PDF]5.在这些环境中进行渗透测试威胁和风险时停止开发过程。如果您决定在测试期间更改现有参数或部署新软件,将会影响最终结果。最好在测试之前完成您的开发活动,以确保它包含在新测试覆盖的环境中。6.安全措施和数据完整性的测试后检查测试后,测试团队应该清理他们的足迹:关闭创建的后门,删除漏洞利用脚本和临时文件,反向设置更改等。但是,您应该仔细检查以下内容:为测试目的创建的安全漏洞已被关闭测试人员的用户帐户已被删除受损凭据已更改安全将更进一步!7.不要忽视补救措施渗透测试供应商通常会在他们的报告中提供有关风险补救措施的建议。如果渗透测试不经常执行(一年或更短时间)或涉及大量任务,则可能会发现许多关键风险,并且补救将需要大量时间和金钱。当然,为了降低成本,您可以推迟修复或只解决最关键的问题。但是,如果您觉得自己没有资源来执行渗透测试的结果,最好将自己限制在内部漏洞扫描上,而不是进行全面的渗透测试。结论风险评估是风险管理过程中一个困难但重要的部分。它可以帮助您评估组织的网络安全风险并确定其优先级。进行风险评估的方法有很多种,包括渗透测试、红队测试和基于风险的测试。但不要怀疑渗透测试在此过程中的重要性:它可以对安全控制进行复杂的评估,并模拟对受保护环境的真实攻击。
