在上一篇文章中我們了解了風(fēng)險評估的重要性，有效風(fēng)險評估的三個階段以及滲透測試的三個類型。但是，滲透測試的風(fēng)險也是存在的，下面讓我們深入的了解它們。

[[342050]]

滲透測試要考慮的因素

如果由經(jīng)驗不足的測試人員進(jìn)行或測試時出現(xiàn)錯誤，則滲透測試帶來的損害可能大于收益。在進(jìn)行測試之前，您需要考慮此測試的主要缺點。

以下是一些關(guān)鍵的滲透測試風(fēng)險：

• 為錯誤操作付出高昂代價。滲透測試人員可以使用敏感數(shù)據(jù)和基礎(chǔ)架構(gòu)。如果測試未正確執(zhí)行，它們可能會使服務(wù)器崩潰并暴露或破壞數(shù)據(jù)。需要考慮的安全風(fēng)險，尤其是在黑盒測試期間。
• 不合規(guī)的測試會讓結(jié)果產(chǎn)生偏移。如果您的安全團隊知道即將進(jìn)行的測試或自己進(jìn)行測試，他們可能會事先為此做好準(zhǔn)備。任何安全評估的重點都是要按照規(guī)定的模式去實施的。如果在不合規(guī)的環(huán)境中進(jìn)行滲透測試，那所得到結(jié)果就沒有意義了。
• 時間和范圍限制。與任何過程一樣，要進(jìn)行滲透測試是一項技術(shù)任務(wù)，并且需要準(zhǔn)備報告的截止日期。這限制了滲透測試者可以使用的漏洞利用數(shù)量，特別是如果您雇用了第三方測試組織。另一方面，黑客通常沒有時間計劃攻擊。因此，您不能依靠滲透測試的一個實例來提高網(wǎng)絡(luò)安全性，尤其是在時間上受到嚴(yán)格限制的情況下。

不過，盡管如此，滲透測試帶來的好處是大于風(fēng)險。另外，有幾種最佳做法可以幫助您解決我們所討論的問題。

獲得最佳測試結(jié)果

每個測試團隊都有獨特的滲透測試方法，并且每個過程都有獨特的結(jié)果。我們準(zhǔn)備了一系列操作，可以幫助您從此安全評估中獲得最佳結(jié)果。

如何改善這一過程

1. 聘請合格的第三方進(jìn)行滲透測試

進(jìn)行內(nèi)部測試很誘人，因為它可以節(jié)省大量時間和金錢。但是，由于以下原因，它不能保證結(jié)果無偏見：

• 可能缺乏專業(yè)知識
• 不合規(guī)性的存在
• 無法模擬真實的攻擊

通過第三方組織，您將獲得專門的滲透測試人員，并獲得全新的安全控制手段。開始進(jìn)行筆試之前，請與您的供應(yīng)商討論您的范圍、預(yù)算、時間限制和先前抗議的結(jié)果。

2. 力爭最大程度地覆蓋測試

任何環(huán)境都是不可分割的系統(tǒng)，因此應(yīng)將其作為系統(tǒng)而不是獨立的部分進(jìn)行測試。如果您只測試并保護(hù)了一部分環(huán)境，則始終存在黑客仍然能夠通過操作系統(tǒng)、硬件或其他軟件中的漏洞訪問該環(huán)境的風(fēng)險。低測試覆蓋率和部分測試只會導(dǎo)致威脅依舊存在。只有在需要重新檢查滲透測試后制作安全補丁時，才進(jìn)行此類測試是合理的。

3. 不要急于準(zhǔn)備測試

在攻擊前階段，測試人員評估漏洞，武器化自己并準(zhǔn)備測試方案。但是從測試團隊外部來看，攻擊者攻擊時，幾乎沒有什么準(zhǔn)備時間，一切以實際發(fā)生威脅的狀況進(jìn)行。可以不時詢問測試過程，但是請確保不要急于準(zhǔn)備階段。請記住，這是一個耗時的過程。對于黑盒測試，此階段有時可能會占用總時長的90%。

4. 使用相關(guān)的滲透測試標(biāo)準(zhǔn)

每個測試環(huán)境都需要一種獨特的方法。盡管如此，滲透測試仍有行業(yè)認(rèn)可的標(biāo)準(zhǔn)。使用這些標(biāo)準(zhǔn)來指導(dǎo)您的內(nèi)部團隊，或確保您的第三方供應(yīng)商使用它。最受歡迎的是：

• 滲透測試執(zhí)行標(biāo)準(zhǔn)
• OWASP Web應(yīng)用程序滲透性檢查表 [PDF]
• PCI DSS滲透測試指南 [PDF]
• CREST滲透測試指南 [PDF]

5. 進(jìn)行滲透測試時停止開發(fā)過程

滲透測試可以發(fā)現(xiàn)某些環(huán)境下的威脅和風(fēng)險。如果您決定在測試過程中更改現(xiàn)有參數(shù)或部署新軟件，則會影響最終結(jié)果。最好在測試之前完成您的開發(fā)活動，以保證它包含在新測試范圍的環(huán)境中。

6. 測試后檢查安全措施和數(shù)據(jù)的完整性

測試之后，測試團隊?wèi)?yīng)清除自己的足跡：關(guān)閉創(chuàng)建的后門程序、刪除利用腳本和臨時文件、反向設(shè)置更改等。但是，您應(yīng)仔細(xì)檢查以下內(nèi)容：

• 為測試目的而創(chuàng)建的安全漏洞已關(guān)閉
• 測試人員的用戶帳戶已刪除
• 受損的憑證已更改

如果您選擇一個高技能的測試團隊，使用我們上面列出的做法，并實施控制措施以減輕發(fā)現(xiàn)的風(fēng)險，您的網(wǎng)絡(luò)安全將進(jìn)一步提高!

7. 不要忽略補救措施

滲透測試供應(yīng)商通常會在其報告中提供有關(guān)風(fēng)險補救的建議。如果很少進(jìn)行滲透測試(一年或更短時間)或包含大量任務(wù)，則可能會發(fā)現(xiàn)很多關(guān)鍵風(fēng)險，并且補救措施將需要大量時間和金錢。

當(dāng)然，為了降低成本，您可以推遲補救或僅解決最關(guān)鍵的問題。但是，如果您覺得沒有足夠的資源來執(zhí)行滲透測試的結(jié)果，那么最好將自己局限于內(nèi)部漏洞掃描，而不是進(jìn)行全面滲透測試。

結(jié)論

風(fēng)險評估是風(fēng)險管理流程中難以執(zhí)行但至關(guān)重要的部分。它可以幫助您評估組織的網(wǎng)絡(luò)安全風(fēng)險并確定其優(yōu)先級。進(jìn)行風(fēng)險評估的方法很多，包括滲透測試、紅隊測試和基于風(fēng)險的測試。但是不要懷疑此過程中滲透測試的重要性：它可以對安全控制進(jìn)行復(fù)雜的評估，并會模擬對受保護(hù)環(huán)境的真實攻擊。