誤區(qū)1滲透測試總是主動發(fā)起的
開展?jié)B透測試的主要目的是搶在攻擊者之前發(fā)現(xiàn)系統(tǒng)的安全隱患和漏洞,因此滲透測試屬于一種主動式的安全技術(shù)。但就具體的滲透測試工作而言,有時也會是被動發(fā)起的,例如當(dāng)組織在調(diào)查網(wǎng)絡(luò)攻擊的原因時。在網(wǎng)絡(luò)安全事件調(diào)查中,組織可以通過滲透測試以深入了解攻擊的性質(zhì),并全面掌握該事件是如何發(fā)生的,采用的技術(shù)的是什么,以及攻擊的動機(jī)是什么?因此,盡管大多數(shù)情況下,組織會主動執(zhí)行測試以幫助防止違規(guī)行為。但滲透測試工作并不都是主動發(fā)起的,取證分析期間的滲透測試同樣可以幫助企業(yè)了解發(fā)生了什么,從而幫助組織防止類似的事件再次發(fā)生。
誤區(qū)2滲透測試就是漏洞掃描
由于滲透測試和漏洞掃描都是為了識別潛在的威脅途徑,因此很多人會將兩者混為一談。但實(shí)際上,漏洞掃描與管理主要包括識別和分類已知漏洞,生成需要注意的優(yōu)先漏洞列表,并推薦修復(fù)它們的方法。而安全威脅非常多樣,并不僅限于安全漏洞的利用。滲透測試側(cè)重于模擬攻擊者的行為,在服務(wù)完成后,測試人員需要生成一份詳細(xì)報告,說明測試過程中是如何破壞安全性以達(dá)到先前商定的目標(biāo)(例如破壞工資系統(tǒng)),并提供相應(yīng)的威脅緩解方案。
誤區(qū)3滲透測試可以完全自動化
滲透測試自動化在理論上看起來不錯,但在具體實(shí)現(xiàn)中會存在很多問題。為了實(shí)現(xiàn)常態(tài)化、持續(xù)性的安全能力測試,許多企業(yè)開始大量使用自動化技術(shù)驅(qū)動的安全測試方法,但需要指出的是:目前的自動化測試模式大多屬于安全掃描,而非真正的滲透攻擊測試。不可否認(rèn)自動化測試的應(yīng)用價值,但真正的攻擊行為是和機(jī)器模擬入侵有很大差異的。經(jīng)驗(yàn)、創(chuàng)造力和好奇心是滲透測試的核心,而這都是專業(yè)滲透人員獨(dú)有的。人工測試是大多數(shù)的滲透測試項(xiàng)目不可或缺的,這樣才能更好地從攻擊者視角發(fā)現(xiàn)問題。
誤區(qū)4滲透測試意味著高成本
企業(yè)開展?jié)B透測試工作需要一定的人力、技術(shù)和資金資源投入。雖然這些資源可能不容易獲取,但它們在預(yù)防威脅方面具有的價值卻值得組織投入心血。因?yàn)榕c網(wǎng)絡(luò)攻擊造成的經(jīng)濟(jì)損失相比,投入到滲透測試的成本可以說是微不足道的。隨著數(shù)字化轉(zhuǎn)型的深入,各種數(shù)據(jù)資產(chǎn)對企業(yè)而言是無價的,一旦數(shù)據(jù)被非法泄露,組織的商譽(yù)會受到嚴(yán)重?fù)p害。而如果攻擊者的目標(biāo)是為了勒索錢財(cái),他們索要的贖金數(shù)額通常也會遠(yuǎn)高于滲透測試的成本預(yù)算。
誤區(qū)5.滲透測試應(yīng)該由外部人員執(zhí)行
關(guān)于滲透測試有一個長期存在的誤區(qū)是,外部人員執(zhí)行滲透測試會比內(nèi)部人員更有效,其原因是外部人員對企業(yè)的數(shù)字化系統(tǒng)并不熟悉,因此會更加客觀。雖然客觀性是滲透測試有效性的關(guān)鍵,但了解業(yè)務(wù)系統(tǒng)并不就意味著不客觀。
因此,滲透測試可由企業(yè)內(nèi)部員工、專業(yè)服務(wù)商或其他第三方機(jī)構(gòu)完成。滲透測試由標(biāo)準(zhǔn)程序和性能度量組成,只要測試者能夠嚴(yán)格遵循測試指導(dǎo)原則,測試結(jié)果就是有效的。對于企業(yè)而言,選擇的重點(diǎn)不應(yīng)該放在聘請外部或內(nèi)部測試者上,而是應(yīng)該放在尋找能夠出色完成工作的測試者上。
誤區(qū)6滲透測試是階段性的工作
很多企業(yè)認(rèn)為,滲透測試只需要階段性開展就可以,因?yàn)橐淮螠y試的報告結(jié)果將會長期有效。在網(wǎng)絡(luò)空間千變?nèi)f化的發(fā)展態(tài)勢下,這種認(rèn)知將給企業(yè)帶來一定的安全風(fēng)險。由于網(wǎng)絡(luò)犯罪分子會不停地尋找系統(tǒng)中的漏洞,如果滲透測試間隔時間長,他們就有機(jī)會領(lǐng)先于企業(yè)發(fā)現(xiàn)可利用的新漏洞。傳統(tǒng)的滲透測試是按照固定的時間表進(jìn)行的,屬于定期評估的概念。持續(xù)滲透測試則是一個不斷掃描系統(tǒng)以發(fā)現(xiàn)漏洞的過程,會變得越來越重要。
誤區(qū)7滲透測試僅用于發(fā)現(xiàn)技術(shù)缺陷
滲透測試的目的是發(fā)現(xiàn)組織安全防護(hù)體系中的不足。在測試中,測試方可以應(yīng)用包括社會工程方式在內(nèi)的多種方法。因此,在滲透測試之前,通常會確定是否需要專門評估某項(xiàng)技術(shù)的安全性。在實(shí)際應(yīng)用中,測試工程師可能會被授權(quán)做更多事情,例如掃描社交媒體以獲取可利用的信息,或嘗試通過電子郵件從用戶那里獲取敏感數(shù)據(jù),甚至嘗試欺騙獲取用戶的賬號權(quán)限等。
誤區(qū)8所有滲透測試都大同小異
從本質(zhì)上講,滲透測試是一個主要依靠安全專家或團(tuán)隊(duì)以人工方式模仿攻擊者的真實(shí)攻擊行為,其目的是在數(shù)字化基礎(chǔ)設(shè)施的不同層級找到進(jìn)入可以攻破目標(biāo)網(wǎng)絡(luò)的最有效方法。根據(jù)測試方法和目標(biāo)的不同,滲透測試通常分為外部測試、內(nèi)部測試、盲測、針對性測試等。
很多企業(yè)為了節(jié)省成本,往往會選擇收費(fèi)更便宜的測試提供商和測試方式,并認(rèn)為各種類型測試的結(jié)果會很相似,但事實(shí)并非如此。與大多數(shù)服務(wù)一樣,滲透測試的程度差異很大,既有覆蓋網(wǎng)絡(luò)所有區(qū)域的廣泛測試,也有針對網(wǎng)絡(luò)中少數(shù)區(qū)域的非廣泛測試。企業(yè)應(yīng)該根據(jù)實(shí)際需求,專注于尋找從測試中獲得的價值,而不是成本。
誤區(qū)9良好的測試結(jié)果意味著沒有問題
從測試中獲得一個好的結(jié)果只是一個良好的開始,但組織不應(yīng)該沾沾自喜,這也不代表企業(yè)的網(wǎng)絡(luò)安全防護(hù)工作高枕無憂。只要組織的數(shù)字化系統(tǒng)還在運(yùn)行,它就時刻會面臨各種不斷出現(xiàn)的新威脅。良好的測試結(jié)果只是肯定了過去建設(shè)的成績,并激勵組織繼續(xù)重視在安全方面的投入。企業(yè)應(yīng)該持續(xù)性進(jìn)行滲透測試,以消除新出現(xiàn)的威脅,并確保系統(tǒng)沒有威脅。
誤區(qū)10.滲透測試只適用于企業(yè)用戶
有一種觀念認(rèn)為滲透測試是面向企業(yè)用戶的,而不適用于個人用戶,這是一種廣泛的誤解。滲透測試的目的是保護(hù)數(shù)據(jù),而并非只有企業(yè)才擁有敏感數(shù)據(jù),現(xiàn)代社會的每個人都會有大量的隱私數(shù)據(jù),比如銀行信息、信用卡詳細(xì)信息和醫(yī)療記錄等。攻擊者同樣會利用個人信息化應(yīng)用的漏洞來訪問并濫用數(shù)據(jù)。因此,我們每個人都應(yīng)該提高數(shù)據(jù)安全和隱私保護(hù)的防范意識,在有條件的情況下,通過滲透測試來檢驗(yàn)各種數(shù)據(jù)的安全性和可靠性。
參考鏈接:https://www.makeuseof.com/common-myths-about-penetration-testing-debunked/
