我的員工沒有安全專家。依靠安全測(cè)試服務(wù)是否有意義?

[[115556]]

在員工中缺少安全專家的情況下，你很有可能會(huì)從外部的安全測(cè)試服務(wù)中選擇一家廠商。在內(nèi)部培養(yǎng)安全技能過于昂貴，也過于費(fèi)時(shí)，并不是一個(gè)理想的選擇。這一技能還要隨著時(shí)間的推移不斷提升。

因?yàn)橐蕾囃獠亢献骰锇榭赡苁俏ㄒ豢尚械倪x擇，在第三方安全測(cè)試服務(wù)時(shí)主要考慮要素有:

◆了解組織的應(yīng)用攻擊面

◆解決預(yù)算問題

◆了解深入的測(cè)試分析

◆決定分析的頻率

應(yīng)用攻擊表面

首先，了解需要測(cè)試的范圍很重要。有一些問題需要安全測(cè)試人員回答，如有多少應(yīng)用需要測(cè)試，他們托管在哪里以及誰開發(fā)的他們?項(xiàng)目經(jīng)理也應(yīng)該做好準(zhǔn)備回答關(guān)于風(fēng)險(xiǎn)等級(jí)的問題。這些問題包括：哪些應(yīng)用程序管理著最敏感的數(shù)據(jù)，哪些負(fù)責(zé)最有價(jià)值的操作，以及哪些代表著最大的風(fēng)險(xiǎn)?這些等級(jí)將有助于優(yōu)化測(cè)試活動(dòng)。沒有回答這些問題，那么深入的決策很有可能會(huì)濫用資源。

預(yù)算

原始預(yù)算可能會(huì)嚴(yán)格控制在測(cè)試項(xiàng)目上。尤其是在沒有內(nèi)部開發(fā)預(yù)測(cè)的小企業(yè)中，預(yù)算可能是一個(gè)最重要的問題。以預(yù)算內(nèi)對(duì)外部廠商進(jìn)行評(píng)估可以用幫助快速縮小領(lǐng)域，尤其是在決定采用深度測(cè)試分析時(shí)。

深度分析

所有的評(píng)估和測(cè)試活動(dòng)并都不是一樣的。當(dāng)評(píng)估第三方法測(cè)試服務(wù)時(shí)，了解具體將要哪類測(cè)試很重要。這決定了評(píng)估將提供的安全級(jí)別的洞察力。

靜態(tài)測(cè)試在空閑時(shí)查看應(yīng)用代碼或二進(jìn)制檔。動(dòng)態(tài)測(cè)試檢查正在運(yùn)行的系統(tǒng)，并執(zhí)行測(cè)試來決定的，或試圖決定應(yīng)用現(xiàn)在的漏洞顯示的行為。如靜態(tài)和動(dòng)態(tài)測(cè)試這樣的自動(dòng)分析只依靠工具來努力把代碼模式或請(qǐng)求與響應(yīng)配對(duì)匹配。

自動(dòng)分析相對(duì)較便宜，但也存在一定的局限。例如，自動(dòng)化測(cè)試只能識(shí)別出一些特定類型的漏洞，而對(duì)于確定依賴于應(yīng)用的業(yè)務(wù)上下文環(huán)境的漏洞有哪些，它卻是無能為力了。除了因?yàn)樽詣?dòng)分析的局限性而引入的漏報(bào)率外，自動(dòng)化安全測(cè)試嘗嘗可以識(shí)別出誤報(bào)，這時(shí)分析會(huì)強(qiáng)調(diào)出可能是漏洞，而實(shí)際還沒有被利用的。

手動(dòng)分析比較昂貴,因?yàn)樗蕾囉诎踩治鰩焷韴?zhí)行測(cè)試。這提高了漏洞類型可識(shí)別的概率，所以期望手動(dòng)測(cè)試過濾出誤報(bào)是很可行的。然而，復(fù)雜的手動(dòng)測(cè)試成本可能會(huì)成為阻礙，即使對(duì)于有著大量資源的組織來說也是一項(xiàng)負(fù)擔(dān)。

分析頻率

安全前景一直在變化著，而且最重要的應(yīng)用程序通常屬于主動(dòng)開發(fā)類型。安全測(cè)試并不是一次性行為。

使用外部的測(cè)試機(jī)構(gòu)或服務(wù)對(duì)于不大型組織和小企業(yè)都是最常見的策略，只要他們需要引入安全測(cè)試功能和技能。但是，確保這些機(jī)構(gòu)能完全理解什么樣的測(cè)試將會(huì)按預(yù)期執(zhí)行很重要。另外，了解組織的攻擊層面和應(yīng)用風(fēng)險(xiǎn)級(jí)別有助于確保測(cè)試預(yù)測(cè)的分配最優(yōu)化。