笔测试可能看起来像一个安全测试灵丹妙药。不过,他们已经知道去可怕的错误,成为大大昂贵。下面是你需要知道,以确保你得到你想要的结果,你期待什么价格。笔测试有许多种和风险程度。有些笔测试是积极的,这意味着安全专家正在积极利用这一点,他们已经确定的安全漏洞。有些是被动的,这意味着测试确实是一个漏洞评估。在脆弱性评估也没有主动测试任何责任。有黑色和白盒测试笔测试。黑箱测试假定为零先验知识。审计人员必须首先做研究可能包括以创建目标网络的轮廓社会工程。 It gets better. The black box pen test can be done on a need to know basis with the IT department kept in the dark. The pen test sponsor of the audit, such as the IT Security Governance Committee, may deem it necessary to exclude members of the IT department from being informed about the test. White box pen tests are philosophically the exact opposite of black box pen tests. White box pen tests are based upon testing specific security elements within an enterprise network and all the work is carefully choreographed in concert with the client’s IT operations group prior to commencement of the test. In my opinion this is a much better approach for the following reasons:
- 测试将精确地聚焦于企业所关心的业务技术。
- 有源笔测试期间引起的无意的损坏和停机的风险降低。
- 充足的备份可以先于笔测试来完成。
如果您决定对任何形式的渗透测试我的建议是讨论关于测试方法的几个标准和推荐的方法。这里仅仅是一些考虑:
你想确定什么?如果您的目标是确定安全性和遵从性漏洞,那么我建议您强烈考虑白盒笔测试或漏洞评估。在我看来,花钱请审计师来发现漏洞,让您有时间修复它们,然后重新测试,而不是花钱请人试图破坏漏洞,这样的投资回报要高得多。原因很简单。笔测试团队花费在破解漏洞上的时间通常与客户愿意为测试支付的金额成正比。所以测试时间是有限的。但对于一个潜在的黑客来说就不是这样了。因此,最好把钱花在消除漏洞上,而不是测试漏洞上。准确地确定基础设施的哪些元素值得检查漏洞也是至关重要的:
- 元素朝外向互联网或向“自己人”向内的。
- 应用 - 基于网络或其他方式。
- 服务器操作系统和配置。
- 网络安全硬件和软件。
- 网络通讯技术。
- 网络安全架构。
- 入侵检测和IT运营应对潜在的威胁。
- 便携式设备安全/认证/身份管理。
选择你的笔测试选项,当你的业务目标应仔细审议你指出正确的方向。有一个安全的一周。问候,罗恩Lepofsky CISSP,学士学位SC。(机甲英)ERE信息安全和隐私审计