企業:怎樣的滲透測試頻率是合適的?
責編:admin |2015-01-19 11:00:57我們企業按照合規要求來進行滲透測試,但我聽說,更加頻繁地測試會更好。企業確定滲透測試的頻率的最佳方法是什么?是否有些企業或行業應該或者不應該更頻繁地進行滲透測試?
Kevin Beaver :這是一個很好的問題,而且,這個問題經常被大家認為是理所當然。我們面臨的挑戰是,對于這個問題,并沒有一個最佳答案。這類似于“我應該多久鍛煉一次?”、“我應該多久去洗一次牙?”以及“我應該多久更換汽車的機油?”等問題,當涉及滲透測試時,我們面對著太多變量,例如網絡復雜程度、系統和應用變更的速度、預算等。問100個人,你可能會得到100個不同的答案。當然,如果還有第三方介入(例如牙醫、機械師和安全顧問),他們可能會傾向于建議符合他們利益的做法,所以要小心。
我的意見是:你想要通過滲透測試達成什么目的?這可能是滿足合規性、滿足客戶或業務合作伙伴的要求。最終的目標應該是最大限度地減小業務風險。鑒于此,你需要盡可能多地進行滲透測試,以保持安全風險在可管理的水平。
在考慮到所有的事情以及試圖保持合理性時,我發現每季度進行滲透測試比較好。有些企業每年或每半年進行一次測試,有些高風險機構(例如金融服務公司和國防承包商)則是使用自動化工具實時進行測試。這取決于很多變量的共同作用。
最重要的是,你需要確保你正在做正確的測試,在最純粹意義上的“滲透測試”并不夠,更高級別的審查清單也不夠,此外,利用普通的漏洞掃描無疑會促使數據泄露事故的發生。我建議把重點放在執行“安全評估”上,查看所有正確的事情,而不是根據別人要求你所做的事情來限制你的測試。
最后,所有系統和應用都可能遭受攻擊,比滲透測試頻率更重要的是,你的企業需要確保隨著時間的推移有效而持續地執行安全測試。