企業(yè):怎樣的滲透測試頻率是合適的?
責(zé)編:admin |2015-01-19 11:00:57我們企業(yè)按照合規(guī)要求來進(jìn)行滲透測試,但我聽說,更加頻繁地測試會更好。企業(yè)確定滲透測試的頻率的最佳方法是什么?是否有些企業(yè)或行業(yè)應(yīng)該或者不應(yīng)該更頻繁地進(jìn)行滲透測試?
Kevin Beaver :這是一個很好的問題,而且,這個問題經(jīng)常被大家認(rèn)為是理所當(dāng)然。我們面臨的挑戰(zhàn)是,對于這個問題,并沒有一個最佳答案。這類似于“我應(yīng)該多久鍛煉一次?”、“我應(yīng)該多久去洗一次牙?”以及“我應(yīng)該多久更換汽車的機(jī)油?”等問題,當(dāng)涉及滲透測試時,我們面對著太多變量,例如網(wǎng)絡(luò)復(fù)雜程度、系統(tǒng)和應(yīng)用變更的速度、預(yù)算等。問100個人,你可能會得到100個不同的答案。當(dāng)然,如果還有第三方介入(例如牙醫(yī)、機(jī)械師和安全顧問),他們可能會傾向于建議符合他們利益的做法,所以要小心。
我的意見是:你想要通過滲透測試達(dá)成什么目的?這可能是滿足合規(guī)性、滿足客戶或業(yè)務(wù)合作伙伴的要求。最終的目標(biāo)應(yīng)該是最大限度地減小業(yè)務(wù)風(fēng)險(xiǎn)。鑒于此,你需要盡可能多地進(jìn)行滲透測試,以保持安全風(fēng)險(xiǎn)在可管理的水平。
在考慮到所有的事情以及試圖保持合理性時,我發(fā)現(xiàn)每季度進(jìn)行滲透測試比較好。有些企業(yè)每年或每半年進(jìn)行一次測試,有些高風(fēng)險(xiǎn)機(jī)構(gòu)(例如金融服務(wù)公司和國防承包商)則是使用自動化工具實(shí)時進(jìn)行測試。這取決于很多變量的共同作用。
最重要的是,你需要確保你正在做正確的測試,在最純粹意義上的“滲透測試”并不夠,更高級別的審查清單也不夠,此外,利用普通的漏洞掃描無疑會促使數(shù)據(jù)泄露事故的發(fā)生。我建議把重點(diǎn)放在執(zhí)行“安全評估”上,查看所有正確的事情,而不是根據(jù)別人要求你所做的事情來限制你的測試。
最后,所有系統(tǒng)和應(yīng)用都可能遭受攻擊,比滲透測試頻率更重要的是,你的企業(yè)需要確保隨著時間的推移有效而持續(xù)地執(zhí)行安全測試。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧