最大化滲透試驗(yàn)效果的五個(gè)關(guān)鍵點(diǎn)

所有CISO我們至少知道滲透測(cè)試失敗的案例。許多人可以提出幾個(gè)徹底失敗的案例。因此，在管理此類事務(wù)的過(guò)程中采取最佳實(shí)踐是值得考慮的。鑒于滲透測(cè)試在典型風(fēng)險(xiǎn)管理中的重要作用，這對(duì)現(xiàn)代企業(yè)安全團(tuán)隊(duì)非常重要。

以下建議來(lái)自不同設(shè)置、不同環(huán)境和不同行業(yè)的滲透測(cè)試經(jīng)驗(yàn)。每一個(gè)建議都可以幫助安全團(tuán)隊(duì)充分利用測(cè)試的價(jià)值，降低錯(cuò)誤的概率。

當(dāng)你考慮攻擊自己資產(chǎn)的滲透測(cè)試時(shí)，適當(dāng)?shù)墓芾碜⒁饬ψ兊梅浅＞o迫。

關(guān)鍵點(diǎn)1:與滲透測(cè)試團(tuán)隊(duì)建立密切關(guān)系

滲透測(cè)試人員對(duì)公司了對(duì)公司系統(tǒng)和基礎(chǔ)設(shè)施的特殊權(quán)限，他們對(duì)公司的具體弱點(diǎn)有獨(dú)特的理解和洞察力。與測(cè)試團(tuán)隊(duì)成員，特別是外部顧問(wèn)，發(fā)展信任關(guān)系減少敏感信息和知識(shí)處理不當(dāng)風(fēng)險(xiǎn)的好方法。

關(guān)鍵點(diǎn)2:掌握滲透測(cè)試過(guò)程的細(xì)節(jié)

對(duì)滲透測(cè)試細(xì)節(jié)一無(wú)所知是監(jiān)督團(tuán)隊(duì)失職或缺乏技術(shù)背景的癥狀?；c(diǎn)時(shí)間了解滲透測(cè)試涉及的工具、技術(shù)、過(guò)程和發(fā)現(xiàn)，你會(huì)發(fā)現(xiàn)你將測(cè)試結(jié)果轉(zhuǎn)化為有意義行動(dòng)的能力和洞察力大大提高。

關(guān)鍵點(diǎn)3：為滲透試驗(yàn)員劃定明確的邊界條件

滲透性測(cè)試的本質(zhì)涉及到在目標(biāo)系統(tǒng)中尋找非預(yù)期功能或條件的創(chuàng)新探索。除非測(cè)試人員理解明確的邊界（例如，他們不能在任何生產(chǎn)系統(tǒng)中進(jìn)行拒絕服務(wù)攻擊），否則他們有可能獲得邊界。安全經(jīng)理有責(zé)任確保這種情況不會(huì)發(fā)生。

關(guān)鍵點(diǎn)4：用滲透測(cè)試呈現(xiàn)漏洞

業(yè)務(wù)部門(mén)或經(jīng)理拒絕承認(rèn)良好的安全重要性的強(qiáng)大技術(shù)之一是暴露與其系統(tǒng)或應(yīng)用程序直接相關(guān)的漏洞。面對(duì)明顯的漏洞證據(jù)，許多團(tuán)隊(duì)將立即關(guān)注安全，更順利地參與需要他們合作的工作。

關(guān)鍵點(diǎn)5:不要用滲透測(cè)試來(lái)證明沒(méi)有漏洞

也許，滲透測(cè)試活動(dòng)負(fù)責(zé)人會(huì)犯的最嚴(yán)重的錯(cuò)誤是修復(fù)滲透測(cè)試中發(fā)現(xiàn)的漏洞，錯(cuò)誤地理解為消除了所有的漏洞。就像所有的測(cè)試一樣，滲透測(cè)試都很好，但它是證明沒(méi)有錯(cuò)誤的壞方法。不要將滲透測(cè)試中發(fā)現(xiàn)的一些漏洞的修復(fù)混淆為安全。這是一個(gè)應(yīng)該盡可能避免的低級(jí)錯(cuò)誤。

針對(duì)安卓應(yīng)用，騰佑科技高級(jí)滲透測(cè)試服務(wù)，iOS提供專門(mén)的檢測(cè)方案，如應(yīng)用程序、網(wǎng)頁(yè)應(yīng)用程序、微信服務(wù)號(hào)、小程序等技高級(jí)滲透測(cè)試，Web應(yīng)用全面檢測(cè)，線索永遠(yuǎn)不會(huì)遺漏。如需要高級(jí)滲透測(cè)試服務(wù)，可聯(lián)系騰佑科技客服！電話:400-996-8756