滲透測(cè)試很重要，但你真的做對(duì)了嗎?我們不妨來(lái)看看滲透測(cè)試中常見(jiàn)的幾種錯(cuò)誤，談?wù)勗撊绾伪苊膺@些錯(cuò)誤。

[[286421]]

找出公司安全狀態(tài)中缺陷和弱點(diǎn)的最有效方式之一，就是讓第三方對(duì)自身系統(tǒng)展開(kāi)有計(jì)劃的攻擊。滲透測(cè)試旨在暴露出公司防御上的缺口，以便公司能夠在被惡意人士利用之前堵上這些缺口。有多種類型的滲透測(cè)試可以針對(duì)公司的不同方面。

網(wǎng)絡(luò)罪犯針對(duì)公司的潛在攻擊途徑很多，從網(wǎng)絡(luò)基礎(chǔ)設(shè)施到應(yīng)用程序，再到設(shè)備和員工。優(yōu)秀的滲透測(cè)試合作伙伴會(huì)以開(kāi)放性思維看待問(wèn)題，嘗試模擬惡意黑客，探測(cè)弱點(diǎn)，并運(yùn)用各種技術(shù)和工具以突破你的網(wǎng)絡(luò)。

盡管滲透測(cè)試被廣泛認(rèn)為是一種必要的安全防護(hù)手段，但卻需要周密計(jì)劃和專業(yè)執(zhí)行。專業(yè)技能或經(jīng)驗(yàn)的缺乏可導(dǎo)致不達(dá)標(biāo)的滲透測(cè)試，不能揭示漏洞，令公司依舊暴露在攻擊者火力范圍內(nèi)。

下面我們列出滲透測(cè)試中的幾種常見(jiàn)錯(cuò)誤姿勢(shì)，并附上如何避免出錯(cuò)的建議。

01、未排序風(fēng)險(xiǎn)優(yōu)先級(jí)

提升安全狀態(tài)的要?jiǎng)?wù)之一，就是建立風(fēng)險(xiǎn)基線。必須識(shí)別出較大的風(fēng)險(xiǎn)在哪兒。此信息是確立滲透測(cè)試目標(biāo)的基礎(chǔ)。滲透測(cè)試總得有個(gè)目標(biāo)，無(wú)論是客戶數(shù)據(jù)、知識(shí)產(chǎn)權(quán)，還是公司財(cái)務(wù)數(shù)據(jù)。排序風(fēng)險(xiǎn)可以幫助公司將安全工作聚焦到能產(chǎn)生較大價(jià)值的地方。

考慮公司可能面臨的最壞情況，然后圍繞此最壞情況設(shè)置滲透測(cè)試目標(biāo)。發(fā)現(xiàn)次要潛在問(wèn)題可能很容易，但那會(huì)分散你對(duì)真正重要問(wèn)題的注意力。

02、使用錯(cuò)誤的工具

滲透測(cè)試工具多如牛毛，但知道哪種工具該用在哪里，清楚這些工具的正確配置方法，卻需要大量的專業(yè)知識(shí)。如果你覺(jué)得可以買現(xiàn)成的滲透測(cè)試工具，交由內(nèi)部 IT 團(tuán)隊(duì)執(zhí)行，那你可能會(huì)面臨重大的打擊。除非你有極具經(jīng)驗(yàn)的內(nèi)部紅隊(duì)，否則你應(yīng)該引入具備真正專業(yè)技能的第三方。

滲透測(cè)試員可能身價(jià)很高，你或許會(huì)短期聘用他們，所以，自動(dòng)化工具值得考慮。自動(dòng)化滲透測(cè)試平臺(tái)是驗(yàn)證公司防御，賦予公司一定持續(xù)防護(hù)的良好方式。謹(jǐn)慎選擇，并向你的第三方滲透測(cè)試合作伙伴尋求建議。

03、糟糕的報(bào)告

如果第三方滲透測(cè)試員的報(bào)告不具備可讀性，就很難理解他們發(fā)現(xiàn)的漏洞，更別提了解這些漏洞對(duì)公司的潛在影響了。滲透測(cè)試報(bào)告應(yīng)清晰闡述問(wèn)題所在，表明不修復(fù)的潛在后果，并提出具體的修復(fù)方法。

沒(méi)有清晰目標(biāo)就開(kāi)始測(cè)試，會(huì)對(duì)報(bào)告階段產(chǎn)生不利影響，因?yàn)檫@么做很難識(shí)別出威脅戰(zhàn)略性資產(chǎn)的真正關(guān)鍵攻擊途徑。良好報(bào)告應(yīng)濾掉噪音和誤報(bào)，突出對(duì)公司而言真正重要的東西。沒(méi)有任何方向，大包大攬地堆出幾千個(gè)漏洞的第三方或自動(dòng)化工具就別引入了，面面俱到是不可能的。所以，確保你有重點(diǎn)突出的可執(zhí)行計(jì)劃，有明確的需要修復(fù)的漏洞列表。

04、照單劃勾

如果你的滲透測(cè)試員在測(cè)試中抱有照單劃勾的思想，那你很可能就會(huì)漏掉一些東西。盡管合規(guī)很重要，但這并不是你執(zhí)行滲透測(cè)試的唯一原因。專注于勾掉項(xiàng)目會(huì)讓你陷入一種虛假的安全感。網(wǎng)絡(luò)罪犯可不是照著檢查清單來(lái)執(zhí)行攻擊的。

05、干擾業(yè)務(wù)

合理規(guī)劃滲透測(cè)試，考慮對(duì)重要業(yè)務(wù)系統(tǒng)的潛在影響。成功的黑客常在不干擾服務(wù)的情況下利用漏洞，你聘用的滲透測(cè)試員也應(yīng)如此。如果測(cè)試在生產(chǎn)環(huán)境中執(zhí)行，一定要明確這一點(diǎn)。黑盒測(cè)試場(chǎng)景，指的是滲透測(cè)試員不了解你基礎(chǔ)設(shè)施的情況。這種情況下，滲透測(cè)試對(duì)業(yè)務(wù)產(chǎn)生干擾的風(fēng)險(xiǎn)更大。

06、使用過(guò)時(shí)技術(shù)

不與時(shí)俱進(jìn)的滲透測(cè)試計(jì)劃，很快就會(huì)毫無(wú)用處。新技術(shù)、新工具、新漏洞層出不窮。你得緊跟最新發(fā)展，并持續(xù)更新你的方法。優(yōu)秀的滲透測(cè)試合作伙伴會(huì)在他們的策略中融入較新的黑客技術(shù)。

07、不常做滲透測(cè)試

盡管年度滲透測(cè)試可能比較常見(jiàn)，但這并不能為你帶來(lái)安寧。不常做的測(cè)試只能交出測(cè)試執(zhí)行當(dāng)時(shí)的防御情況。你得持續(xù)檢測(cè)你的防御并反復(fù)測(cè)試，才能確保暴露出來(lái)的漏洞被恰當(dāng)修復(fù)了。這是自動(dòng)化滲透測(cè)試平臺(tái)如此有效的又一個(gè)原因。

08、沒(méi)能修復(fù)

確保滲透測(cè)試合作伙伴和自動(dòng)化工具產(chǎn)生的報(bào)告有專人負(fù)責(zé)解讀和響應(yīng)。你必須排序所發(fā)現(xiàn)的問(wèn)題，并及時(shí)著手解決。損失慘重的數(shù)據(jù)盜竊往往是公司企業(yè)未處理已知漏洞的結(jié)果。確保已發(fā)現(xiàn)漏洞得到妥善解決，應(yīng)成為滲透測(cè)試的組成部分之一。

規(guī)劃和執(zhí)行都很糟糕的滲透測(cè)試非常危險(xiǎn)。若想維持健壯的安全態(tài)勢(shì)，必不能驕傲自滿。