最大化滲透測試效果的5個關鍵點

2021-09-23 01:11:52 字數 1079 閱讀 9142

所有ciso都至少知道一起滲透測試失敗的案例。其中很多人能舉出幾起失敗得很徹底的案例。因此,在管理此類事務過程中採納最佳實踐,就是很值得考慮的做法了。鑑於滲透測試在典型風險管理中所佔的重要角色,這對現代企業安全團隊來說十分重要。

以下建議,出自不同設定、不同環境和不同產業的滲透測試經驗。每一條建議,都可以幫助安全團隊充分利用測試的價值,同時減小出錯的概率。

當你考慮涉及到攻擊自身資產的滲透測試時,恰當的管理關注力就變得十分緊迫了。

關鍵點1:與滲透測試團隊建立緊密關係

滲透測試員被賦予了對公司系統和基礎設施的特別許可權,他們會對公司特定弱點有著獨特的理解和洞見。與測試團隊人員,尤其是外部顧問們,發展一種信任關係,是最小化此敏感資訊和知識不恰當處理風險的極佳方式。

關鍵點2:掌握滲透測試過程細節

對滲透測試細節一無所知,是監督團隊失職或缺乏技術背景的症狀。花點時間去了解滲透測試涉及的工具、技術、過程和發現,你會發現自己將測試結果轉化為有意義行動的能力和洞見,都大幅提公升了。

關鍵點3:為滲透測試員劃定明確的邊界條件

滲透測試的本質,涉及在目標系統中查詢非預期功能或條件的創新性探索。除非測試員理解明確的邊界(比如不能在任何生產系統中執行拒絕服務攻擊),否則就存在他們撈過界的可能性。安全經理有責任確保這一情況不出現。

關鍵點4:用滲透測試呈現漏洞

獲得拒絕承認良好安全重要性的業務部門或經理關注的乙個強力技術,就是暴露出與他們的系統或應用直接關聯的漏洞。面對漏洞的明顯證據,很多團隊都會馬上重視起安全,更平滑地參與到需要他們協作的工作中。

關鍵點5:千萬別用滲透測試來證明沒有漏洞

或許,滲透測試活動負責人會犯的最嚴重的錯誤,就是將對滲透測試所發現漏洞的修復,錯誤理解為清除掉了所有的漏洞。就像所有的測試一樣,滲透測試在呈現失誤上非常棒,但卻是證明不存在失誤的糟糕方法。千萬別把對滲透測試找出的某些漏洞的修復,混淆成了安全。這是要盡力避免的一種低階錯誤。

提高和保證搜尋營銷的效果最大化

並不是每個營銷相關人員 營銷策劃 網頁開發 設計 文案 質量評估和 廣告等 都對 sem 有深刻的理解,但在這樣的乙個網際網路時代,所有營銷活動都應該與搜尋營銷密切配合才能獲得效果的最大化。相信很多公司的 seo 或 ppc 負責人都會碰到一些與其他部門協作上的問題。那麼下面我們就來看看兩個關鍵步驟...

最大化混合雲解決方案效果的訣竅

雖然雲計算成為了很多企業的有效解決方案,但仍有許多人尚未完全將其it外包到雲服務中。這就是為什麼許多企業會選擇切換至混合雲解決方案 將私有的it基礎設施和公有雲混合在一起使用。這樣一來,他們覺得既能控制其運營的重要方面,同時還能獲得軟體即服務或平台即服務所附帶的大多數優勢。這一點對製造企業尤為明顯,...

整合大資料價值最大化的三個關鍵因素

在過去的幾年裡,人們從知道大資料的概念,發展到一些組織能夠真正實施一些大資料專案。然而,在一些組織的資料中心團隊負責實施這些業務驅動的舉措之後,現在才開始認識到實現真正大資料整合的複雜性和深度。大資料通過人們生活,工作平台,應用程式,以及裝置提供了多種格式的大量的資料。大量的結構化和非結構化的內容往...