对于狡猾的数据窃贼和草率的用户来说,渗透测试是一种在坏人发现漏洞之前发现漏洞的好方法,也许也是必不可少的方法。 Skyport Systems 首席执行官 Art Gilliland 表示,即使防火墙和入侵检测系统等技术可以保护组织 95% 的部分,“渗透测试人员也会扫描整个环境”以查找漏洞,例如暴露的管理员密码或错误配置的防火墙规则。
(ISC)² 和 SANS Institute 等组织提供培训,EC-Council 提供道德黑客认证,一组从业者甚至定义了渗透测试执行标准。 许多组织依赖品牌咨询公司,尽管它们可能比小公司贵。 但退伍军人表示,口碑传播和值得信赖的同行的推荐是找到熟练且真正有道德的渗透测试人员的最可靠方法。 IT 安全评估和咨询公司 Red Spin 总裁 Dan Berger 表示,认证并不那么重要,因为渗透测试是“一种艺术形式”,好奇心、足智多谋和创造力等因素比证书更重要。
加密供应商 pEp Security 的前首席信息官、联合创始人兼首席执行官 Leon Schumacher 建议采取一到两周的努力,结合来自公司外部和内部的攻击(例如来自有权访问您的公司的承包商) 系统。)Gilliland 表示,如果您没有预算或高管支持来实现适当的安全性,那么渗透测试可能是“如果您的执行团队关心安全性,并且[测试人员]为您提供了路线图,那么渗透测试可能是释放预算的绝佳方法” 以及如何解决这个问题。”
3.了解您的环境以确定测试的优先级
安全即服务提供商 Alert Logic 的首席安全布道师 Stephen Coty 表示:“资产发现可能是最大的关键点。如果您不知道自己拥有什么,那么您也不知道自己拥有什么。” 容易受到。” 他建议使用自动化工具定期扫描您的环境,以帮助您确定哪些系统最关键且需要最多的测试。
4. 自己做力所能及的事
科蒂表示,即使预算很少,免费或廉价的开源工具也可以让公司自己进行基本扫描并发现明显的漏洞。 其中包括 Kali Linux 渗透测试工具包,其中包括执行网络流量分析以及扫描 SQL 和 WordPress 漏洞等的工具。 他说,此类工具“不如带有审计员的渗透测试仪那么熟练”,但可以让您了解威胁情况。 云安全自动化平台供应商 Palerra 威胁研究总监 Tim O’Brien 表示,参加渗透测试课程还可以帮助您判断道德黑客的工作,就像参加汽车维修课程可以帮助您判断机械师的建议一样。