企业:怎样的渗透测试频率是合适的?

日期: 2015-01-15 作者:Kevin Beaver翻译:邹铮 来源:TechTarget中国 英文


我们企业按照合规要求来进行渗透测试,但我听说,更加频繁地测试会更好。企业确定渗透测试的频率的最佳方法是什么?是否更频繁地进行渗透测试会更好?

Kevin Beaver :这是一个很好的问题,而且,这个问题经常被大家认为是理所当然。我们面临的挑战是,对于这个问题,并没有一个最佳答案。这类似于“我应该多久锻炼一次?”、“我应该多久去洗一次牙?”以及“我应该多久更换汽车的机油?”等问题,当涉及渗透测试时,我们面对着太多变量,例如网络复杂程度、系统和应用变更的速度、预算等。问100个人,你可能会得到100个不同的答案。当然,如果还有第三方介入(例如牙医、机械师和安全顾问),他们可能会倾向于建议符合他们利益的做法,所以要小心。

我的意见是:你想要通过渗透测试达成什么目的?这可能是满足合规性、满足客户或业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。鉴于此,你需要尽可能多地进行渗透测试,以保持安全风险在可管理的水平。

在考虑到所有的事情以及试图保持合理性时,我发现每季度进行渗透测试比较好。有些企业每年或每半年进行一次测试,有些高风险机构(例如金融服务公司和国防承包商)则是使用自动化工具实时进行测试。这取决于很多变量的共同作用。

最重要的是,你需要确保你正在做正确的测试,在最纯粹意义上的“渗透测试”并不够,更高级别的审查清单也不够,此外,利用普通的漏洞扫描无疑会促使数据泄露事故的发生。我建议把重点放在执行“安全评估”上,查看所有正确的事情,而不是根据别人要求你所做的事情来限制你的测试。

最后,所有系统和应用都可能遭受攻击,比渗透测试频率更重要的是,你的企业需要确保随着时间的推移有效而持续地执行安全测试。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

翻译

邹铮
邹铮

相关推荐

  • 真正的安全采购流程应该是怎样的?

    对于安全产品采购和供应商选择,我们是否应该制定基本准则?在与预选的供应商交谈以及评估供应商之前,信息安全官应该提出什么问题,我们应该避免哪些常见的陷阱?

  • 解读数据泄漏防护技术的误区

    RSA会议的专家组指出,对数据泄漏防护的误导信息和错误宣传导致很多企业停止了对数据泄漏防护技术的部署,让他们错失了利用数据泄漏防护技术提供的深度内容检测的机会。

  • 移动应用程序开发应考虑的八大安全问题

    随着移动互联网的普及,企业越来越需要开发适用于多种移动平台的应用程序,从而深化其客户体验。但是,与移动应用程序相关的风险不同于传统的企业软件。

  • 防止社交网络恶意软件的最佳实践

    对于企业用户在与社交网站进行互动过程中出现的超时设置、缓存、以及其他安全问题,有什么好的建议?有可能为企业用户建立和实现一个标准的安全指南吗?