关注公众号,回复“河南等保1016 ”获取“WINDOWS SERVER 2012 系统配置指南”,了解Windows Server更多知识,获得知识同时不要忘记分享哦!
在进行渗透测试时,了解所支付的费用非常重要。渗透测试的目的是识别漏洞并评估潜在攻击对业务的总体影响。一些最大的数据泄露事件已经证明,只需一个被忽视的漏洞就会危及公司的资产。
当投资一家渗透测试公司时,支付的是专业的安全团队来手动测试系统和应用程序。这需要寻找所有潜在的攻击媒介并加以利用,因此如果价格好得令人难以置信,那很可能就是这样。
![影响渗透测试成本的7大因素]( "影响渗透测试成本的7大因素")
以下是影响渗透测试成本的因素列表:
1. 测试类型
渗透测试的成本取决于所提供的服务。所需的测试类型取决于进行测试的原因,无论是合规性法规、部署新应用程序还是在事件已经发生之后。渗透团队一般提供的三项服务是基础设施渗透测试、应用程序安全测试和基于目标的渗透测试。
2. 范围
了解业务需求以及实际范围内的内容也很重要。价格范围取决于被测系统的大小和复杂程度。渗透团队用于确定工作量分配的关键组件是IP总数、需要测试的Web应用程序数量以及每个应用程序的角色和页面总数。然而,范围越小,渗透测试的价值就越低,因为对于潜在的黑客来说,范围不受限制。
3. 方法论
确保使用全球公认的行业标准框架始终如一地进行渗透测试至关重要。渗透团队的方法源自OWASP Top 10,并根据当前的威胁和渗透团队整体经验得到了增强。渗透团队检查以下问题:
4. 自动与手动
自动扫描是查找和测量系统和应用程序中的漏洞而不必利用它们的过程。但是,通过手动测试,渗透测试团队尝试利用每个漏洞来利用并了解每个漏洞的真实严重性。自动化测试容易出现误报(不正确的发现)和误报(缺少应用的关键领域)。渗透团队不能完全赖自动化,事实上,自动化只是渗透团队的流程中许多步骤中的第一步。然后渗透团队开始的手动过程,渗透团队会花时间了解用户系统/应用程序,然后尝试利用每个漏洞,以便客户发现自己的弱点所在。
5.质量
渗透团队在原则上永远不会也不能在质量上妥协,一般情况下这种安全服务,应该是需方直接与渗透测试团队所在公司直签业务,不应该允许包渗透业务,这点适用于所有的第三方检测工作,都应该是需方直接参与进来,因为这些工作属于需方对网络安全供应链各方面的一个监督材料。大多数安全咨询公司都提供渗透测试,但一个合格的团队至关重要,有些公司会进行分保或者依赖未彻底验证资格的分包商,供应链越长则对于个中利益涉及越多,则越不好把控。因此,请注意实际上是谁在进行测试。提出问题以确保选择的是一支合格的渗透测试团队。
6、资质
渗透测试在要求每个测试人员团队都拥有最先进的培训和认证。了解客户在不断处理敏感信息的多个行业工作,这就是为什么确保所有的测试人员都经过认证、背景调查并拥有实践经验。在国外,有进攻性安全认证专家 (OSCP)认证,在我国则有CISP-PET认证等,CISP-PTE中文名称为注册渗透测试工程师,是攻防领域的资质认证,由中国信息安全测评中心实施认证的。经过这些资质认证的人员,可以保证测试候选人利用未知网络中的漏洞的能力。
7. 报告
任何公司最不需要的就是一份没有实际价值的报告。提供详细的渗透测试报告,其中包括对渗透团队发现的易于理解的描述、截图记录以及详细的攻击叙述,以说明每个潜在风险的影响。报告至少还包含一份执行摘要,概述了应用程序的整体状态以及增强环境安全性的观点建议。
拓展内容:
在确定渗透测试的价格时,需要考虑很多因素,但是,渗透测试的成本超过了数据泄露的成本。2018 年加拿大的平均数据泄露成本约为 400 万美元。加拿大隐私法现在还规定,未能在合理的时间内通知隐私专员可能会导致100,000 美元的罚款。
数据泄露可能代价高昂、消除客户信心、破坏品牌声誉,并从根本上彻底摧毁企业。因此,重要的是投资一家主要目标是提高客户安全性的公司。最终,渗透测试的成本就是安全的代价。为了比黑客领先一步,你必须像黑客一样思考。
黑客将使用任何手段进入我们的网络,因此要确保选择一家能够提供最高质量测试的公司。若你对渗透测试有需求,我们可以提供支持渗透测试并提供培训,以确保工作的彻底性。
来吧!让我们谈谈技术和业务吧!
关注公众号,回复“河南等保1024”获取“SP 800-115机翻版”
原文始发于微信公众号(河南等级保护测评):影响渗透测试成本的7大因素
评论