如何为我的业务选择渗透测试解决方案?

考虑到过去几年中已蔓延至全球的漏洞数量,企业无力继续依靠被动安全性。只是希望警报不会消失并不是一种策略。相反,团体应该拥抱 渗透测试 .

对于那些不熟悉该概念的人,典型的笔试项目包括一个耗时5个月的专家,戴上他们的“邪恶的人”帽子并攻击目标,试图以恶意团体的方式渗透到组织中。从那里,组织可以看到黑客可以获得多少访问权限,以及如果/何时进入,他们可以对环境做什么。

要为您的业务选择合适的渗透测试解决方案,您需要考虑多种因素。我们已经与几位网络安全专家进行了交谈,以获取他们对该主题的见解。

联合创始人Tonimir Kisasondi 阿帕图拉

选择远程劳动力保护任何渗透测试都需要在范围定义,发现的问题数量以及分配的时间和预算之间进行权衡。考虑到这一点,您如何才能充分利用安全审查?

不要限制范围。真正的攻击者不’不在乎范围。确保您的安全检查没有’仅限于一组非常狭窄的资产,并且它们涵盖了您的所有资产,基础架构,应用程序甚至流程。强化的操作系统和服务赢得了’如果攻击者破坏了该定制开发的Web应用程序,那么您有什么好处。或者,如果技术错误导致您的数据库崩溃,您可以’恢复您的备份。确保您的安全检查涵盖了您的所有资产。

考虑应执行的测试深度。使用该测试来验证您的检测系统可以检测到正在执行的攻击,并且可以在存在实际知识的专家进行攻击时跟踪任何潜在的错误或应用程序破坏的其他方式。

选择正确的方法进行安全检查。尽管黑盒测试方法可以提供可接受的结果,但是通过查看运行您的应用程序的源代码或服务器可以发现很多问题。选择渗透测试方法时,请考虑哪种测试类型可以为您提供最有用的反馈类型。

创始人丹尼尔·马丁(Daniel Martin) 安全根

选择远程劳动力保护在考虑渗透测试解决方案或合作伙伴之前,需要回答几个关键问题。

  • 你有什么要求
  • 为什么需要渗透测试?
  • 测试的目的是什么?

如果您不能回答这些问题,请在研究渗透测试解决方案或公司之前寻求外部帮助,以阐明您的要求。

建立您的要求和期望。您需要知道并寻求帮助–无论是针对您的开发团队的渗透测试,漏洞评估或安全意识培训。

检查公司背景。他们是否从事过与您的组织相关的行业和研究技术的工作?事先讨论他们的保险范围和法律文件。

一旦您’如果已建立要求,请每个供应商解决它们。它将帮助您了解他们的方法,并了解他们对安全性和业务需求之间关系的了解,包括不同评估和补救解决方案和策略中涉及的权衡。

您的供应商’的方法应与您的业务目标保持一致。询问他们进行的类似项目的示例,并要求提供经过消毒的报告。最终交付物应独立存在,提供有关项目的完整信息:范围的描述,高级执行摘要以及调查结果的详细列表。它应包括补救建议和支持信息以验证团队’的工作,并在补救后验证缓解措施。

首席内容和战略官Jim O’Gorman 进攻安全

选择远程劳动力保护在安排渗透测试时,要问的最重要的问题是,我希望从中学到什么?您的目标是要在最短的时间内找到并消除尽可能多的问题,满足合规性要求,模拟以您的组织为目标的恶意方的行为以发现“最坏情况”,等等。与您的服务提供商合作至关重要。

其中许多目标将使其他一些目标无法实现,因此重要的是选择主要目标。向服务提供商明确传达您的需求,并询问他们可以做什么来帮助您实现该目标。如果他们采用单一的评估方法无法达到您的目标,则它们不是您的提供者。

许多客户开始对他们想要达成的目标感到困惑–他们最终会得到服务提供商想要给他们的一切。只有您知道您的组织需要什么,并且需要您从一开始就清楚地与他们进行沟通。

安全服务副总裁Josh Wyatt, Rapid7

选择远程劳动力保护首先,了解您的业务和业务风险很重要。与咨询服务一起使用可以帮助您确定组织应解决的风险,并且此风险评估不仅可以帮助确定需要测试的内容,还需要确定优先级。

然后,可以设计一个行动计划,该计划将使组织’的资产以及与其匹配的渗透测试服务。同样重要的是要知道渗透测试解决方案涵盖了哪些内容,没有涵盖什么。了解如何获取渗透率最高的结果并在整个组织中实施这些结果也很重要。

由于渗透测试的范围和时间受到限制,因此它们通常无法识别出所有漏洞实例。因此,不仅应该自己对发现的内容进行补救,而且还应将其用作模板和提示,以搜索漏洞可能表现出来的其他实例。渗透测试人员不能在真空中工作-组织应准备在其自身的安全性中发挥积极作用。

分享这个