点击↑蓝字
关注墨云安全
由于监管要求、内部策略、商业政务要求及避免成为下一个违规受害者的总体愿望,渗透测试已经成为一项重要的安全工作,被许多企业组织所重视。然而渗透测试前仍然有一个问题,您需要进行临时测试,即每年开展一次或两次的按需活动,还是需要一个由外部测试团队持续协作的托管测试计划?
您组织的最佳选择取决于您每年执行的测试次数,您内部拥有的资源以及使用这些资源的技能组合。
渗透测试,要做哪些准备
无论您使用哪种类型的程序,在每次测试开始前后都会进行许多内务管理步骤,可能包括以下内容:
-
确定测试深度
-
查找并对测试人员进行背景调查
-
计划测试窗口
-
向测试人员提供适当的访问凭据
-
为测试人员创建虚拟专用网络(VPN)和账户
-
建立其他参与规则
测试完成后,将启动另一组步骤,包括:
-
汇报调查结果
-
促进对调查结果的修正
-
安排并执行重新测试,以确保漏洞得到修补
虽然这些项目看起来很简单,但实际上需要大量时间和专业知识来确保正确设置和完成所有内容,完成测试前后的所有项目可能会让任何安全团队不堪重负。
想象一下,您的公司每年需要在某个截止日期前完成数百次测试,例如当审计师被安排访问时,即使您有专门用于测试管理的内部资源,为数百个测试协调所有步骤也是不切实际的。
协调测试人员如果不是渗透测试专家,可能造成某些重要流程的疏忽;如果缺乏相关经验,很多管理人员甚至可能没有意识到测试人员需要拥有特定的资质,导致雇用的渗透测试人员加入到项目中却无法开始测试,这极大程度地浪费了企业的时间和金钱。
测试完成后,管理测试程序的人员需要与测试人员进行工作交接,以便团队能够理解并及时修复风险最高的漏洞,如果项目经理缺乏相关经验,他们可能不了解调查结果的含义以及采取哪些措施来修复它们,从而导致资产暴露在攻击者手中的时间更长。
托管测试适合您吗
如果您的组织或企业具有上述问题,每年必须测试数百个资产,那么托管渗透测试计划可能更适合您。
在托管程序下,测试提供商可以处理测试前和测试后的任务,包括确定需要测试的资产优先级,以及确定测试的时间和深度。同时还将确保在测试开始之前正确设置凭据,VPN访问和其他需求,并且可以监督重新测试,以确保正确应用补丁并实施补偿对策。
如果企业需要满足法规要求,但缺乏流程或治理结构,也可以考虑托管测试。托管提供商可以每月或每季度收集关键指标,并帮助您的测试计划实现所需的合规性和安全目标。提供商还可以将结果输入治理,风险和合规性(GRC)系统,跟踪您的进度,甚至自动执行该过程,这样您就不必手动输入数百份报告的结果。
临时测试适合您吗
如果您确实拥有经验丰富的渗透测试专家,那么非托管的临时方法可能更适合您,具体取决于您每年执行的测试数量。经验丰富的全职内部资源应该了解渗透测试过程以及随之而来的内务管理项目,企业可以要求测试人员提供相关资质证书,定义参与规则,安排测试并领导修复过程。
虽然从表面上看,内部招聘可能看起来更便宜,但如果你没有合适的资源来计划、执行和跟进工作,它可能不是最有效的选择。
渗透测试过程中要问的问题
如果您正在考虑托管测试计划或临时计划,请问自己以下问题:
-
我们的内部资源是否缺乏实际的渗透测试经验?
-
我们用于测试程序的资源是否太少,无法正确完成工作?
-
我们是否有太多的人在测试程序上花费了太多时间?
-
完成所有测试前后任务是否令人头疼?
-
我们每年是否需要测试数百个应用程序?
-
我们是否因为资产太过分散或隐蔽而导致测试受阻?
-
我们是否花费了太多时间用于手动将测试结果输入GRC系统?
如果其中任何一个问题的答案是“是”,则您可能需要考虑托管程序。测试是一个持续的过程,需要持续的时间,资源和注意力,但正如许多成功的企业所知,这是一项值得的投资,以防止威胁参与者充分利用您的组织。
Vackbot智能自动化攻击模拟平台
墨云核心产品Vackbot智能自动化攻击模拟平台集成了国际先进的黑客攻击技术与主流的黑客攻击剧本,通过对用户网络环境攻击面、安全防护设备设施进行持续性渗透攻击与攻击模拟,发现用户网络环境和业务系统的风险点及安全防护设备的无效防护策略,最终指引客户以黑客视角对自身企业安全性进行全面评估,进而从容有序的解决企业安全问题。
参考链接:
https://securityintelligence.com/posts/ad-hoc-or-managed-penetration-testing-which-one-is-best-for-you/
往期回顾
EASM,让你更快获悉资产风险
自动化测试新视角:以SaaS模式检测内网安全
机器渗透与人工渗透的博弈
↓↓点击阅读原文,了解更多墨云信息
原文始发于微信公众号(墨云安全):临时或持续渗透测试:哪一个最适合您?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论