初创公司创始人经常错误地认为黑客不会在他们创办的公司上浪费时间,因为这些公司不够大、不够有名或价值不高。仅仅因为您小而知名并不意味着您不会成为攻击者的目标。初创公司的规模并不能使其免受网络攻击。因为黑客不断扫描互联网以寻找他们可以利用的任何漏洞。幸运的是,用户也越来越意识到网络安全的重要性,并经常向初创公司询问他们用来保护数据的流程。因此,如果您是一名希望改善Web或移动应用程序网络安全状况的CTO,那么您已经走在正确的轨道上,但是网络安全有这么多选择,您应该从哪里开始呢?为了帮助您入门,我们创建了本指南,其中涵盖以下要点:了解“什么是安全测试?”了解执行安全测试的原因定义网络安全测试的范围知道何时执行渗透测试什么是安全测试?安全测试是一个广义术语,指的是检查系统、网络或软件是否存在黑客和其他威胁行为者可以利用的漏洞的过程。它可以有多种形式,因此在本文中,我们将探讨它的两个主要组成部分:漏洞评估:一种使用工具扫描系统或应用程序以查找安全问题的自动化安全测试。这些工具被称为“漏洞扫描器”,可执行自动化测试以查找应用程序或基础架构中的漏洞。违规类型可能是应用程序级漏洞、云配置问题,或者仅仅是软件缺少安全补丁(网络安全违规的最常见原因之一)。渗透测试:主要由网络安全专家执行的手动评估(尽管通常由漏洞扫描工具提供支持)并确定攻击者利用漏洞的程度。渗透测试是在某个时间点尽可能多地发现漏洞的好方法,但您应该考虑在渗透测试人员回家后尽快收到新漏洞警报。漏洞扫描器还使组织能够在进行更深入且通常更昂贵的手动测试之前更多地了解其安全状况。这在许多情况下是显而易见的,因为渗透测试人员通常通过运行相同的自动化工具来开始他们的测试。为什么要进行安全测试?Veracode的软件安全状况报告显示,83%的研究样本(包括全球2,300家公司使用的85,000个软件应用程序)在初始安全测试期间至少发现了一个安全漏洞。未经测试,这些漏洞就会被释放到产品中,使软件容易受到网络攻击。如果出于这个原因,您决定开始进行安全测试只是为了在黑客之前找到您自己的漏洞,那很好。您可以灵活地确定自己的需求并直接跳到下一部分。否则,执行安全测试的其他常见原因是:1.?第三方或客户请求。如果合作伙伴或客户特别要求您进行安全测试以确保他们的客户数据免受网络攻击,您可能会有更严格的要求。然而,仍有解释的余地??。客户经常要求进行“渗透测试”,但他们很少具体说明这意味着什么。2.合规认证及行业法规。许多行业法规或合规认证也要求组织定期进行安全测试。常见示例包括ISO27001、PCIDSS和SOC2。这些标准详细说明了所需的测试,但即使是最具体的也没有指定如何测试或测试什么,因为这取决于具体的工作。出于这个原因,通常假设被测试的公司最有能力确定在他们的场景中什么级别的安全测试是有意义的。因此,您可能会发现以下指南仍然有助于确定要测试的内容和方式。风险评估每家公司都是独一无二的,因此,您的风险对您来说也是独一无二的。但是,可能很难知道正确的测试级别是多少。您可以使用以下内容作为我们在行业中看到的内容的粗略指南:1.如果您不存储特别敏感的数据例如,您可以提供网站正常运行时间监控工具并且不存储特别敏感的数据。在您长大到足以成为特定目标之前,您可能只需要担心会被那些寻找简单选择的人不分青红皂白地攻击。如果是这样,您更有可能只需要自动漏洞扫描。专注于(或可能)暴露在互联网上的任何系统,例如任何远程访问(虚拟网络、远程管理员登录)、防火墙、网站或应用程序、API,以及可能意外发现自己在线的系统(云平台任何东西)很容易被意外放到互联网上)。2.如果你存储客户数据?也许你是一个营销数据分析平台,所以你可能面临来自内部人员和犯罪团伙的威胁较少,但你肯定需要担心客户访问彼此的数据或一般的数据泄露,例如你有一个应用程序,但任何人都可以在线注册一个帐户,你将要考虑从普通用户的角度进行“经过身份验证的”渗透测试,并且你还需要确保你员工的笔记本电脑都打上了补丁与最新的安全更新。3.如果你提供金融服务如果你是一家金融科技初创公司,转移资金,你需要担心恶意客户甚至恶意员工,以及针对你的网络犯罪团伙。如果是这样,您将需要考虑对所有这些场景进行持续的漏洞评估和定期的全面手动渗透测试。4.如果你没有任何东西暴露在互联网上也许你根本没有任何东西暴露在互联网上,或者不开发面向客户的应用程序,所以你的主要攻击面是员工笔记本电脑和云服务。在这种情况下,对您自己的笔记本电脑运行自动漏洞扫描是最有意义的。每个企业都是独一无二的,没有一种网络安全策略适用于所有初创企业。这就是为什么您需要首先了解自己的风险所在。你需要保护什么?理想情况下,在计划安全测试本身之前,您应该考虑您拥有哪些资产,包括技术资产和信息资产,这一过程称为“资产管理”。一个非常简单的示例可能是:“我们有70台员工笔记本电脑,主要使用云服务,并在GoogleCloudPlatform中存储和备份我们的客户数据,以及允许管理员和客户访问的应用程序。我们最重要的数据是代表我们客户存储的数据,以及我们在人力资源系统中的员工数据。”考虑到这一点可以帮助您开始形成确定测试范围的基础。例子:我们的HR系统是一个云服务,所以我们只要求他们提供安全测试的证明(所以不需要我们自己测试)。我们在GoogleCloud中拥有哪些IP地址,注册了哪些域(有工具可以帮助解决这个问题)。我们的工程师不下载生产数据库,但可以访问我们的云系统,因此他们的笔记本电脑、云和电子邮件帐户也是我们攻击面的一部分。执行资产管理将帮助您跟踪属于您组织的系统并确定需要测试哪些IP地址和域名。初创公司应该多久进行一次安全测试?这取决于测试的类型!显然,自动化测试的好处是它们可以根据需要定期运行。另一方面,渗透测试更昂贵并且需要经常运行。国家网络安全中心(NCSC)建议,每月至少执行一次例行漏洞扫描有助于强化IT基础设施。这种做法有助于公司密切关注无穷无尽的新威胁列表;每年报告超过10,000个新漏洞。除了定期漏洞扫描外,还建议在每次系统更改时运行扫描。漏洞扫描器类型您可以从多种类型的漏洞扫描器中进行选择,包括基于网络的、基于代理的、Web应用程序和基础设施,具体取决于您要保护的资产。网络扫描器的一些经典示例是Nessus和Qualys,它们都是市场领导者并提供强大的安全性和漏洞覆盖率。如果您想要一个易于使用的工具,您可以考虑的现代替代品是Intruder。这个在线漏洞扫描器是专门为非安全专家开发的,同时提供高质量的检查,以及对新出现威胁的自动扫描。Intruder使用独特的算法来确定暴露您系统的问题的优先级,这使得识别风险最高的问题变得特别容易。脆弱性评估有什么好处?漏洞评估旨在自动发现尽可能多的安全漏洞,以便在攻击者发现它们之前加以缓解。它还有助于使渗透测试(相比之下,这是一个手动过程)更加有效。事实上,正如NCSC所解释的那样,“通过定期扫描漏洞来解决‘唾手可得的问题’,渗透测试可以更有效地关注更适合人类的复杂安全问题。”什么时候进行渗透测试?渗透测试人员模仿现实生活中的网络攻击者,但与攻击者不同的是,他们遵循预定义的范围并且不会滥用组织的资产和数据。它们比漏洞扫描更有可能发现复杂或高影响的业务层弱点,例如操纵产品定价、使用客户帐户访问其他客户的数据,或者从一个初始漏洞转移到整个系统控制。缺点是比较贵,那么什么时候进行渗透测试呢?考虑上述风险评估的关键时间线,例如,在您的产品开发之后但在您开始获取真实客户数据之前。或者在您拥有一些非敏感客户数据之后,但在您开始掌握工资单或健康相关信息之前。一旦你启动并运行,渗透测试应该在重大变化之后进行,比如改变你的身份验证系统,发布一个主要的新功能;或经过6-12个月的小改动。因为从理论上讲,每一次更改都可能意外引入漏洞。同样,这取决于您的风险水平。如果您处于风险范围的低端,每三个月转移一次资金也是可取的,但如果您处于风险范围的低端,每12个月是一个普遍接受的时间表。渗透测试应在实施重大系统更改之前或每6-12个月进行一次。存在多种类型的渗透测试,渗透测试会寻找技术中的安全漏洞,例如外部和内部网络以及Web应用程序中的安全漏洞。然而,它也可以发现组织人力资源中的弱点,例如在社会工程的情况下。您选择的渗透测试公司取决于您要测试的资产类型,但还应考虑其他因素,例如认证、价格和经验。总结安全测试是一个关键的网络安全过程,旨在检测系统、软件、网络和应用程序中的漏洞。它最常见的形式是漏洞评估和渗透测试,但目标始终是在恶意攻击者利用它们之前解决安全漏洞。请记住,攻击者还会执行例行安全测试以发现他们可以滥用的任何漏洞。一次安全漏洞就足以让他们发动大规模的网络攻击。虽然这可能很可怕,但您的公司可以通过定期执行网络安全测试得到更好的保护。实施此策略可能具有挑战性,因为没有通用的安全测试解决方案。如今,许多工具都提供免费试用,为小型企业提供了一个很好的机会,可以在进行更大的投资之前找到合适的解决方案。本文翻译自:https://thehackernews.com/2021/07/getting-started-with-security-testing.html如有转载请注明出处。
