安全测试入门:初创公司实用指南

admin 2021年7月9日22:06:56评论17 views字数 3303阅读11分0秒阅读模式

前情提要

在初创公司创始人之间存在一个普遍误解:网络犯罪分子不会在他们身上浪费时间,因为他们还不够强大或不够知名。


但仅仅因为你小并不意味着你不在被攻击的范围之中。初创公司的规模并不能使其免受网络攻击——这是因为黑客不断扫描互联网,寻找他们可以利用的漏洞;一个失误,您的企业就会因为错误的原因成为头版新闻。


因此,如果您是一名 CTO,正在考虑提升您的网络或移动应用程序的网络安全状况,那么您已经走在正确的轨道上,但有这么多选择,您应该从哪里开始?


为了帮助您开始,我们创建了本指南,其中涵盖以下关键点:

什么是安全测试?

为什么要进行安全测试?

定义网络安全测试的范围

多久执行一次渗透测试?

具体内容

什么是安全测试?

安全测试是一个广义的术语,指的是检查系统、网络或软件是否存在黑客和其他威胁参与者可以利用的漏洞的过程。它可以有多种形式,因此在本文中,我们将探讨它的两个主要组成部分:


(1)漏洞评估:使用工具扫描您的系统或应用程序是否存在安全问题的自动化安全测试。这些工具被称为“漏洞扫描器”,它们执行自动化测试以发现应用程序或基础架构中的缺陷。缺陷类型可能是应用程序级别的弱点、云配置问题,或者只是显示缺少安全补丁的软件(网络安全漏洞的最常见原因之一)。


(2)渗透测试:主要由网络安全专家进行手动评估(尽管它通常由漏洞扫描工具支持),以及确定威胁参与者可以利用漏洞的程度。

渗透测试是在某个时间点找到尽可能多的弱点的好方法,但是您应该考虑在渗透测试人员回家后您多快收到新漏洞的警报。


漏洞扫描程序还使组织能够在进行更深入且通常更昂贵的手动测试之前了解有关其安全状态的更多信息。这在许多情况下是显而易见的,因为渗透测试人员通常会通过运行相同的自动化工具来开始他们的测试。


为什么要进行安全测试?

Veracode 的软件安全状况报告显示,83% 的研究样本(包括全球 2,300 家公司使用的 85,000 个软件应用程序)在初始安全测试期间至少发现了一个安全漏洞。如果没有测试,这些缺陷就会被发布到生产环境中,使软件容易受到网络攻击。


如果出于这个原因,您决定开始安全测试只是为了在黑客之前发现您的弱点。您可以灵活地决定自己的要求;跳到下一节。否则,执行安全测试的其他常见原因是:


(1) 第三方或客户的要求。如果合作伙伴或客户特别要求您执行安全测试以确保他们的客户数据免受网络攻击者的侵害——您可能有更严格的要求。然而,仍有解释的余地。客户需要“渗透测试”是很常见的,但他们很少具体说明这究竟意味着什么。


(2)标准认证和行业法规。许多行业法规或合规性认证还要求组织定期进行安全测试。常见示例包括 ISO 27001、PCI DSS 和 SOC2。这些标准详细说明了所需的测试,但即使是最具体的也没有具体说明测试的方式或内容,因为这取决于手头的场景。出于这个原因,人们通常认为,接受测试的公司最适合确定哪种级别的安全测试在他们的场景中有意义。因此,您可能会发现以下指南在确定测试内容和方式方面仍然很有用。

安全测试入门:初创公司实用指南

在个人安全测试之前考虑策略

每家公司都是独一无二的,因此,您的风险对您来说也是独一无二的。但是,很难知道什么是正确的测试级别。您可以使用以下内容作为我们在行业中看到的粗略指南:


1.如果你不存储特别敏感的数据

例如,您可能会提供网站正常运行时间监控工具并且不存储特别敏感的数据。在您成长到足以成为特定目标之前,您可能只需要担心那些寻找轻松选择的人会不加区分地进行黑客攻击。如果是这样,您更有可能只需要自动漏洞扫描。

专注于任何暴露在互联网上(或可能暴露在外)的系统,如任何远程访问(VPN、远程管理员登录)、防火墙、网站或应用程序、API,以及可能偶然发现自己在线的系统(云平台内的任何东西都可以太容易被意外放到互联网上)。


2. 如果您存储客户数据

也许你是一个营销数据分析平台,所以你可能会面临来自内部和犯罪团伙的威胁较小,但你肯定需要担心客户访问彼此的数据或一般数据泄露。或者,例如,您有一个应用程序,但任何人都可以在线注册一个帐户,您将要从普通用户的角度考虑“经过身份验证”的渗透测试——但可能不是从一个有限的员工角度考虑-端访问。您还需要确保员工的笔记本电脑完全安装了最新的安全更新。


3. 如果您提供金融服务

如果您是一家四处转移资金的金融科技初创公司,您将需要担心恶意客户甚至恶意员工——以及针对您的网络犯罪团伙。

如果是这样,您将需要考虑对所有这些场景进行持续的漏洞评估和定期的全手动渗透测试。


4.如果你没有任何暴露在互联网上的东西

也许您根本没有暴露在 Internet 上的任何东西,或者没有开发面向客户的应用程序——因此您的主要攻击面是员工笔记本电脑和云服务。在这种情况下,对您自己的笔记本电脑进行自动漏洞扫描是最有意义的,如果您需要额外的保证,您可以考虑一种更激进的渗透测试,称为红队测试。

安全测试入门:初创公司实用指南

多久执行一次渗透测试?

这取决于测试的类型!显然,自动化测试的好处是它们可以根据需要定期运行。虽然频繁运行渗透测试的成本更高。


每月至少执行一次常规漏洞扫描可以帮助加强您的 IT 基础设施,这是国家网络安全中心 (NCSC) 推荐的。这种做法有助于公司关注永无止境的新威胁清单;每年都会报告超过 10,000 个新漏洞。除了定期的漏洞扫描外,还建议在每次系统更改时运行扫描。


漏洞扫描器的类型

您可以从多种类型的漏洞扫描程序中进行选择 — 基于网络、基于代理、Web 应用程序和基础架构。选择取决于您要保护的资产。


网络扫描仪的一些经典示例是 Nessus 和 Qualys。两者都是市场领导者,并提供强大的安全性和漏洞覆盖率。如果您想要一个易于上手的工具,您可以考虑的一个现代替代方案是Intruder。


这种在线漏洞扫描程序是专门开发的,可供非安全专家使用,同时提供高质量的检查,以及对新兴威胁的自动扫描。

安全测试入门:初创公司实用指南

什么时候进行渗透测试?

渗透测试人员模仿现实生活中的网络攻击者,但与威胁行为者不同,他们遵循预定义的范围并且不会滥用组织的资产和数据。与漏洞扫描相比,它们更有可能发现复杂或高影响力的业务层弱点,例如操纵产品定价、使用客户帐户访问另一位客户的数据,或从最初的弱点转向完全的系统控制。缺点是相比之下,它很昂贵,那么什么时候运行一个合适的时间呢?


考虑上述风险评估的关键时间表,例如,在您的产品开发之后但在您开始获取真实客户数据之前。或者在您持有一些非敏感客户数据之后,但在您开始持有工资或健康相关信息之前。


一旦启动并运行,应该在重大更改后执行渗透测试,例如更改身份验证系统,发布主要新功能;或者在 6-12 个月的小变化之后(因为理论上每一个变化都可能会意外引入弱点)。


同样,这取决于您的风险水平;如果您每三个月转移一次资金也是可取的(或更多!),但如果您处于风险范围的低端,则每 12 个月一次是普遍接受的时间表。


存在几种类型的渗透测试。渗透测试可以寻找技术中的安全漏洞,例如在您的外部和内部网络以及 Web 应用程序中。但是,它也可以发现组织人力资源中的漏洞,例如在社会工程的情况下。

您选择的渗透测试公司取决于您要测试的资产类型,但也应考虑其他因素,例如认证、价格和经验。

结论

安全测试是一个关键的网络安全过程,旨在检测系统、软件、网络和应用程序中的漏洞。其最常见的形式是漏洞评估和渗透测试,但目标始终是在恶意行为者利用它们之前解决安全漏洞。


请记住,威胁行为者还会执行例行安全测试,以寻找他们可以滥用的任何漏洞。一个安全漏洞就足以让他们发起大规模的网络攻击。虽然这可能令人恐惧,但您的公司可以通过定期执行网络安全测试来获得更好的保护。


实施此策略可能具有挑战性,因为没有一刀切的安全测试解决方案。


推荐阅读:

安全测试入门:初创公司实用指南


▼稿件合作  15558192959

  小E微信号:Eanquan0914



本文始发于微信公众号(E安全):安全测试入门:初创公司实用指南

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年7月9日22:06:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安全测试入门:初创公司实用指南http://cn-sec.com/archives/416769.html

发表评论

匿名网友 填写信息