企業滲透測試自檢的四項基本原則
責編:admin |2014-10-07 16:01:15如果把企業的信息安全管理比作牙齒護理,安全服務公司比作牙醫,那么企業自己定期進行滲透測試自查就好比刷牙和使用牙線,如今幾乎所有安全顧問公司都會建議企業重視滲透測試檢查,這樣可以有效避免很多淺顯而嚴重的失誤和漏洞。
根據調查機構Ponemon的統計,美國企業數據泄漏的成本高達199美元/條,而且還在不斷增長,其中Target數據泄漏事件導致其圣誕假日購物交易額損失3-4%,而根據安全牛網之前的報道,Target的損失完全可以通過加強自身安全管理避免。
近日在紐約舉行的Interop大會上,安全公司Maven Security呼吁企業加強滲透測試實踐,對于當今企業面臨的兩大最為常見的安全威脅——跨站腳本和SQL注入,Maven建議企業采用web應用安全漏洞研究測試及學習環境工具集(Web Security Dojo),來提高滲透測試水平。Maven的安全專家進一步指出,企業提升自我滲透測試能力需要遵循以下四項基本原則:
一、安全開發。開發一款新應用時,應當將安全作為第一位的考慮因素,而不是作為附加環節。
二、邊開發邊測試。等開發完了再去進行安全測試就晚了。
三、安全必須一把手帶隊。可以是CISO或者CTO、CIO,必須是一個能把安全優先級提到最高的一把手。(參考閱讀:CISO、CIO一個都不能少)
四、先易后難。在找安全服務公司之前,企業應當完成力所能及的,相對簡單的滲透測試,消滅讓人鄙視的低級漏洞。