随着网络攻击的数量增加,渗透试验的需求 - 确定公司防御的实力 - 也在上升。人们担心他们的公司网络和计算机系统被攻击,数据被盗。此外,许多监管标准此类PCI和抵押需要至少每年进行这些测试。
随着攻击者变得更加复杂,对这些测试的需求仅增加。这是这些测试捕获所有可能的漏洞。
渗透测试的好处和差距
渗透测试涉及计算机网络,系统或Web应用程序的实时测试,以找到潜在的漏洞。测试仪实际上尝试利用漏洞并将结果的详细信息分发给客户的客户端。他们记录了漏洞的严重程度,并推荐应采取的步骤来解决它们。
执行渗透测试的好处是,组织将知道他们的弱点以及他们需要投资更强大的安全控制。例如,笔测试可以找到不安全的网络设置或配置,打开端口和不安全路由器和交换机。
然而,问题是结果可能会因谁执行测试而显着变化。没有定义全面的国家执行标准来执行渗透测试。这让大量的安全漏洞空间被遗漏,这可能导致许多组织不知道其安全控制的强劲。
例如,一个网络安全公司可以测试网络并识别10个漏洞,而另一个网络安全性只能找到两个。这是一个问题,应该做些什么来解决这个问题。
解决方案:全国笔测试执行标准
关闭此问题的差距的一种方法是创建一个国家渗透测试执行标准,即网络安全测试公司必须遵守。
本标准需要比现有的NIST SP 800-115详细进一步详细进一步,信息安全测试和评估技术指南,只提供了用于执行渗透测试的一般指南。虽然该指南具有良好的信息,但在测试期间应在测试期间完成任何类型的活动,并且不提供关于攻击者行为的最新信息以及如何在测试期间执行它的详细信息。
这种新标准需要在必须测试的环境中包含建议的工具和标准目标列表。它将包括应用程序和基于网络的要求,必须在内部和外部网络段上进行测试。它还应详细调一些应该对系统进行测试的各种类型的攻击。
FBI和国土安全部门有一些关于攻击策略的最新信息,并有助于确保这些测试标准涵盖这些。
随着渗透试验的基础,在标准之后完整,那么公司可以进行自己的更具创造性的测试,这是必不可少的,因为许多公司使用自己的自定义工具和流程。
但是对于成功的标准方法,渗透测试标准必须定期更新。攻击者正在不断变化的策略,而且需要在被发现的时候纳入其中。
拥有这种国家渗透执业标准,即网络安全公司遵循的一部分,将帮助企业适当地评估其网络风险,因此他们可以专注于投资他们最需要的地区的资源。