Kevin Beaver是Principle Logic LLC的創(chuàng)始人和首席顧問，他有16年的IT和信息安全的工作經(jīng)驗(yàn)。在進(jìn)入信息安全服務(wù)行業(yè)前，他的工作曾經(jīng)涉及衛(wèi)生保健、電子商務(wù)、金融和教育行業(yè)的信息技術(shù)和安全。他擅長(zhǎng)的領(lǐng)域包括網(wǎng)絡(luò)和無線網(wǎng)絡(luò)安全、信息安全評(píng)估和事故回應(yīng)。 Kevin是Technology Association of Georgia的Information Security Society創(chuàng)始人和主席，而且是幾家大學(xué)和企業(yè)的IT顧問團(tuán)成員。他在Southern Polytechnic State University獲得了計(jì)算機(jī)工程技術(shù)的碩士學(xué)位，在Georgia Tech獲得技術(shù)管理的博士學(xué)位。Kevin還獲得了CISSP、MCSE、Master CNE和IT Project+等證書。

[[126364]]

我們企業(yè)按照合規(guī)要求來進(jìn)行滲透測(cè)試，但我聽說，更加頻繁地測(cè)試會(huì)更好。企業(yè)確定滲透測(cè)試的頻率的最佳方法是什么?是否有些企業(yè)或行業(yè)應(yīng)該或者不應(yīng)該更頻繁地進(jìn)行滲透測(cè)試?

Kevin Beaver ：這是一個(gè)很好的問題，而且，這個(gè)問題經(jīng)常被大家認(rèn)為是理所當(dāng)然。我們面臨的挑戰(zhàn)是，對(duì)于這個(gè)問題，并沒有一個(gè)最佳答案。這類似于“我應(yīng)該多久鍛煉一次?”、“我應(yīng)該多久去洗一次牙?”以及“我應(yīng)該多久更換汽車的機(jī)油?”等問題，當(dāng)涉及滲透測(cè)試時(shí)，我們面對(duì)著太多變量，例如網(wǎng)絡(luò)復(fù)雜程度、系統(tǒng)和應(yīng)用變更的速度、預(yù)算等。問100個(gè)人，你可能會(huì)得到100個(gè)不同的答案。當(dāng)然，如果還有第三方介入(例如牙醫(yī)、機(jī)械師和安全顧問)，他們可能會(huì)傾向于建議符合他們利益的做法，所以要小心。

我的意見是：你想要通過滲透測(cè)試達(dá)成什么目的?這可能是滿足合規(guī)性、滿足客戶或業(yè)務(wù)合作伙伴的要求。最終的目標(biāo)應(yīng)該是最大限度地減小業(yè)務(wù)風(fēng)險(xiǎn)。鑒于此，你需要盡可能多地進(jìn)行滲透測(cè)試，以保持安全風(fēng)險(xiǎn)在可管理的水平。

在考慮到所有的事情以及試圖保持合理性時(shí)，我發(fā)現(xiàn)每季度進(jìn)行滲透測(cè)試比較好。有些企業(yè)每年或每半年進(jìn)行一次測(cè)試，有些高風(fēng)險(xiǎn)機(jī)構(gòu)(例如金融服務(wù)公司和國(guó)防承包商)則是使用自動(dòng)化工具實(shí)時(shí)進(jìn)行測(cè)試。這取決于很多變量的共同作用。

最重要的是，你需要確保你正在做正確的測(cè)試，在最純粹意義上的“滲透測(cè)試”并不夠，更高級(jí)別的審查清單也不夠，此外，利用普通的漏洞掃描無疑會(huì)促使數(shù)據(jù)泄露事故的發(fā)生。我建議把重點(diǎn)放在執(zhí)行“安全評(píng)估”上，查看所有正確的事情，而不是根據(jù)別人要求你所做的事情來限制你的測(cè)試。

最后，所有系統(tǒng)和應(yīng)用都可能遭受攻擊，比滲透測(cè)試頻率更重要的是，你的企業(yè)需要確保隨著時(shí)間的推移有效而持續(xù)地執(zhí)行安全測(cè)試。