渗透测试过程中的风险控制策略
渗透测试是一种专业的安全服务,类似于军队里的“实战演习”或者“沙盘推演”的概念,通过实战和推演,让用户清晰了解目前网络的脆弱性、可能造成的影响,以便采取必要的防范措施。
现阶段,渗透测试在网络安全中的应用愈发广泛,并且测试过程的设备使用也逐渐多样。就系统自有工具而言,其包含了 ping、ftp、telnet、echo 等多个类型;而非系统自有的其他工具包含了 nmap、nc、Nessus、Burpsuit 等工具。
在一定程度上,测试工具及方法的使用会对网络系统的运行造成一定影响,加大设备运行的风险性。故而在渗透测试过程中,应注重渗透风险的有效评估和规避。渗透测试风险控制内容具体包括:
其一,应确保渗透测试的评审方案获得双方认可,确保网络安全等级测试的合法性。
其二,测试过程中应注重测试时间和范围的严格控制,同时测试人员应和被测单位建立高效化的沟通机制,避免渗透测试对目标单位的业务开展造成影响。
其三,通常,为避免测试潜在风险发生,应减少核心业务系统的渗透测试数量,避免发生业务系统损伤。
从渗透测试中,客户能够得到的收益至少有:
1、协助用户发现组织中的安全最短板,协助企业有效的了解目前降低风险的初始任务;
2、一份文档齐全有效的渗透测试报告有助于组织IT管理者以案例说明目前安全现状,从而增强信息安全的认知程度,甚至提高组织在安全方面的预算;
3、信息安全是一个整体工程,渗透测试有助于组织中的所有成员意识到自己的岗位同样可能提高或降低风险,有助于内部安全的提升; 当然,渗透测试并不能保证发现目标网络中的“所有”弱点,因此我们不宜片面强调它的重要性。
但是,目前国内的现状是:
1、大多数企业没有意识到渗透测试的作用;
2、仅有少数信息安全企业有能力完成出色的渗透测试服务。 因此,渗透测试甚至一度沦为客户检验安全公司技术能力的一个标尺。
几维安全App安全渗透测试服务是移动应用自动化+人工渗透测试是一项基于应用程序的完整生命周期进行全方位的安全检测服务。从攻击者的角度出发,多方面对应用的代码、数据、密钥、业务逻辑、系统环境等内容进行静、动态的人工分析,以获取应用安装卸载过程、用户数据输入、存储处理、网络传输、业务逻辑以及所处系统环境等方面的安全隐患。报告将针对分析过程中使用的渗透工具、渗透步骤、问题代码位置、潜在风险以及问题解决方案均进行详细的描述。目前人工渗透服务支持Android、iOS两大平台以及WEB应用。
最后,应认识到网络安全保护中渗透测试的必要性,并在掌握其测试原理的基础行,规范化的进行测试过程管理,并做好测试风险防控,才能利于提升渗透测试的应用水平,实现信息网络安全的有效保证。
下一篇: 影响军工企业信息安全的因素