一個就職于某企業(yè)的同行最近向我講述了他們對應(yīng)用的測試過程以及該測試有多么地全面，他們還對應(yīng)用系統(tǒng)進(jìn)行網(wǎng)絡(luò)滲透測試來確保其全方位的安全。我認(rèn)為這聽起來就像是浪費(fèi)時間和資源。你同意我的看法嗎？當(dāng)確保應(yīng)用系統(tǒng)安全時實施網(wǎng)絡(luò)滲透測試有好處嗎？如果有的話，會是什么好處呢？

在一個易遭受攻擊的網(wǎng)絡(luò)中擁有強(qiáng)健的、經(jīng)過充分測試的應(yīng)用沒有太大意義，因為網(wǎng)絡(luò)自身在配置或是流程中存在著未知的漏洞。盡管當(dāng)前黑客們正在直接攻擊Web應(yīng)用，但他們也會毫不猶豫地充分利用可選路徑闖入組織并偷竊信息資產(chǎn)。

談及這兩類滲透測試時你的說法是正確的，應(yīng)用系統(tǒng)滲透測試更為重要。正如我剛剛所說，這是因為應(yīng)用系統(tǒng)是當(dāng)前攻擊的關(guān)注點(diǎn)，并且網(wǎng)絡(luò)應(yīng)該已經(jīng)受到網(wǎng)絡(luò)邊界防御如防火墻、入侵監(jiān)測系統(tǒng)和防病毒網(wǎng)關(guān)的保護(hù)。正是有了像這樣的邊界防御措施，才迫使黑客們將攻擊目標(biāo)轉(zhuǎn)移到應(yīng)用系統(tǒng)。

然而，測試網(wǎng)絡(luò)安全設(shè)備是否如期望的那樣運(yùn)行并實際的保護(hù)著網(wǎng)絡(luò)十分重要。在系統(tǒng)集成或是部署時，多個設(shè)備、服務(wù)和功能的相互交互會產(chǎn)生意料之外的弱點(diǎn)，這往往只能通過把系統(tǒng)當(dāng)作一個整體進(jìn)行滲透測試找出來。

關(guān)于主動地分析系統(tǒng)潛在漏洞的過程，可以從糟糕的或是不正確的系統(tǒng)配置開始，然后是已知和未知的硬件或軟件缺陷，以及流程和技術(shù)對策中的操作上弱點(diǎn)。網(wǎng)絡(luò)滲透測試能夠探究控制力度怎樣，如密碼選擇，服務(wù)器、防火墻和IDS的配置，系統(tǒng)間的信任關(guān)系以及遠(yuǎn)程訪問點(diǎn)對嘗試溢出的抵抗力，同樣還有網(wǎng)絡(luò)防御措施成功地偵測攻擊并對其做出響應(yīng)的能力。

遵守PCI DSS 11.3（PCI DSS，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）章節(jié)的要求，需要至少每年進(jìn)行一次外部的和內(nèi)部的滲透測試、包括網(wǎng)絡(luò)層和應(yīng)用層，同樣還包括在進(jìn)行任何重大的基礎(chǔ)設(shè)施或應(yīng)用升級或修改之后。行業(yè)標(biāo)準(zhǔn)如ISO 27001中也將它定義為組織應(yīng)該定期進(jìn)行的重要安全測試之一。此外，網(wǎng)絡(luò)滲透測試的結(jié)果也為要求增加安全人員和技術(shù)方面的投資提供了證據(jù)?，F(xiàn)在，這已成為非常值得做的事情。