相关网络安全渗透测试的常见误区
|
考虑事情以攻击者为主,可以使我们更加迅速地认识企业的网络防备之缺失。网络安全渗透测试工作的本质就是扮演攻击性黑客的角色,梳理企业的所有资产、寻找漏洞和攻击路径,以便更好地修复或应对风险。 误区1渗透测试总是主动发起的 开展渗透测试的主要目的是抢在攻击者之前发现系统的安全隐患和漏洞,因此渗透测试属于一种主动式的安全技术。但就具体的渗透测试工作而言,有时也会是被动发起的,例如当组织在调查网络攻击的原因时。 误区2 渗透测试就是漏洞扫描 由于渗透测试和漏洞扫描都是为了识别潜在的威胁途径,因此很多人会将两者混为一谈。但实际上,漏洞扫描与管理主要包括识别和分类已知漏洞,生成需要注意的优先漏洞列表,并推荐修复它们的方法。 误区3 渗透测试可以完全自动化 渗透测试自动化在理论上看起来不错,但在具体实现中会存在很多问题。为了实现常态化、持续性的安全能力测试,许多企业开始大量使用自动化技术驱动的安全测试方法,但需要指出的是:目前的自动化测试模式大多属于安全扫描,而非真正的渗透攻击测试。 误区4渗透测试意味着高成本 企业开展渗透测试工作需要一定的人力、技术和资金资源投入。虽然这些资源可能不容易获取,但它们在预防威胁方面具有的价值却值得组织投入心血。因为与网络攻击造成的经济损失相比,这个时候投入到一些渗透测试的成本可以说本质上是非常非常微不足道的。 误区5 渗透测试是阶段性的工作 很多企业认为,渗透测试只需要阶段性开展就可以,因为一次测试的报告结果将会长期有效。在网络空间千变万化的发展态势下,这种认知将给企业带来一定的安全风险。为此,我们需要建立一套适合网络空间的安全评估体系,对网络安全进行全面、系统的评估,从而确定是否需要采取措施进行防护。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
