网络安全知识：每年渗透测试几次合适？

任何处理敏感数据的组织都必须勤于安全工作，其中包括定期渗透测试。即使是很小的数据泄露也可能对组织的声誉和底线造成重大损害。

安全Web应用程序开发需要定期渗透测试的主要原因有两个：

·安全性：Web应用程序在不断发展，并且一直在发现新的漏洞。渗透测试有助于识别可能被黑客利用的漏洞，并允许在它们造成任何损害之前修复它们。

·合规性：根据所在的行业和处理的数据类型，可能需要遵守某些安全标准（例如PCIDSS、NIST、HIPAA）。定期渗透测试可以帮助验证Web应用程序是否符合这些标准，并避免因不合规而受到处罚。

应该多久渗透一次？

许多组织，无论大小，都有一年一次的渗透测试周期。但是渗透测试的最佳频率是多少？一年一次够吗，还是需要更频繁？

答案取决于几个因素，包括开发周期类型、Web应用程序的重要性以及所处的行业。

如果出现以下情况，可能需要更频繁地进行渗透测试：

你有一个敏捷或持续的发布周期

敏捷开发周期的特点是发布周期短，迭代快。这会使跟踪对代码库所做的更改变得困难，并且更有可能引入安全漏洞。

如果每年只测试一次，那么漏洞很可能会在很长一段时间内未被发现。这可能会使组织容易受到攻击。

为了减轻这种风险，渗透测试周期应与组织的开发周期保持一致。对于静态Web应用程序，每4-6个月测试一次就足够了。但是对于经常更新的Web应用，你可能需要更频繁地测试，比如每月一次甚至每周一次。

从 2020 年 11 月到 2021 年 10 月，全球最受基本 Web 应用程序攻击的行业部门

Web应用程序对业务至关重要

在安全方面，任何对组织的运营至关重要的系统都应格外注意。这是因为违反这些系统可能会对业务造成毁灭性影响。如果组织严重依赖其Web应用程序来开展业务，则任何停机都可能导致重大的财务损失。

例如，假设组织的电子商务网站因DDoS攻击而关闭了一个小时。不仅会失去潜在的销售机会，而且还必须应对攻击成本和负面宣传。

为避免这种情况，确保Web应用程序始终可用且安全非常重要。

非关键Web应用程序通常可以每年测试一次，但业务关键Web应用程序应该更频繁地进行测试，以确保它们不会面临重大中断或数据丢失的风险。

Web应用程序是面向客户的

如果所有的Web应用程序都是内部的，那么可以不那么频繁地进行渗透测试。但是，如果Web应用程序可供公众访问，则必须在安全方面格外勤奋。

外部流量可访问的Web应用程序更有可能成为攻击者的目标。这是因为有更多的攻击向量池和更多可供攻击者利用的潜在入口点。

面向客户的Web应用程序也往往拥有更多的用户，这意味着任何安全漏洞都会被更快地利用。例如，拥有数百万用户的外部Web应用程序中的跨站点脚本(XSS)漏洞可能会在被发现后数小时内被利用。

为了防范这些威胁，与内部应用程序相比，更频繁地对面向客户的Web应用程序进行渗透测试非常重要。根据应用程序的大小和复杂性，可能需要每月甚至每周进行一次渗透测试。

身处高风险行业

由于数据的敏感性，某些行业更有可能成为黑客的目标。例如，医疗保健组织通常因其持有受保护的健康信息(PHI)而成为攻击目标。

如果组织处于高风险行业，应该考虑更频繁地进行渗透测试，以确保系统安全并满足法规遵从性。这将有助于保护数据并减少发生代价高昂的安全事件的可能性。

没有内部安全操作或渗透测试团队

这听起来可能违反直觉，但如果没有内部安全团队，可能需要更频繁地进行渗透测试。

没有专职安全人员的组织更容易受到攻击。

如果没有内部安全团队，将需要依靠外部渗透测试人员来评估组织的安全状况。

根据组织的规模和复杂性，可能需要每月甚至每周进行渗透测试。

专注于合并或收购

在合并或收购过程中，往往会出现很多混乱。这会使跟踪所有需要保护的系统和数据变得困难。因此，在这段时间内更频繁地进行渗透测试以确保所有系统都是安全的非常重要。

并购还意味着要将新的Web应用程序添加到组织的基础架构中。这些新应用程序可能存在未知的安全漏洞，可能会使整个组织面临风险。

2016年，万豪收购喜达屋时并不知道黑客在两年前利用了喜达屋预订系统中的漏洞。超过5亿条客户记录遭到泄露。这让万豪与英国监管机构ICO陷入困境，在英国被罚款1840万英镑。据彭博社报道，未来还有更多麻烦，因为这家酒店巨头可能“面临高达10亿美元的监管罚款和诉讼费用”。

为了防止这些威胁，在收购前后进行渗透测试非常重要。这将帮助识别潜在的安全问题，以便在转换完成之前解决这些问题。

连续渗透测试的重要性

虽然定期渗透测试很重要，但在当今世界已经不够了。随着企业越来越依赖于他们的Web应用程序，连续渗透测试变得越来越重要。

渗透测试主要有两种类型：限时和连续。

传统的渗透测试是按照固定的时间表进行的，例如每年一次。这种类型的渗透测试在当今世界已经不够用了，因为企业越来越依赖于他们的网络应用程序。

持续渗透测试是持续扫描系统漏洞的过程。这使可以在漏洞被攻击者利用之前识别并修复漏洞。连续渗透测试让可以在安全问题发生时发现并修复它们，而不是等待定期评估。

连续渗透测试对于具有敏捷开发周期的组织尤为重要。由于经常部署新代码，因此引入安全漏洞的可能性更大。

渗透测试即服务模型是连续渗透测试的亮点。后期，渗透测试各安全厂商则更多的投入渗透测试即服务模型，最新安全威胁和漏洞保持同步，因此可以确信Web应用程序是安全的。

·手动和自动渗透测试：结合了手动和自动渗透测试，可提供两全其美的体验。这意味着可以更快地找到并修复漏洞，同时仍能从专家分析中获益。

·提供全面的覆盖范围：应该涵盖了所有OWASP Top 10漏洞等。确信Web应用程序是安全的，可以抵御最新的威胁。

底线

定期渗透测试对于安全的Web应用程序开发至关重要。根据组织的规模、行业和开发周期，可能需要修改渗透测试计划。

原文始发于微信公众号（祺印说信安）：网络安全知识：每年渗透测试几次合适？