讓我們來看看構成壹個好的滲透測試的壹些關鍵因素:建立參數:定義工作範圍是壹個成功的滲透測試的第壹步,也是最重要的壹步。這包括定義界限、目標和過程驗證(成功條件)。
o遵守保密協議
選擇足夠的測試集:
手動和自動都會影響成功/收益之間的最佳平衡。
遵循正確的方法:
這不是猜謎遊戲。所有方面都需要規劃、記錄和遵從。
測試結果和建議:
這是滲透測試的壹個非常重要的部分。最終報告必須清楚地解釋結果,並且必須將結果與潛在風險對應起來。這應該伴隨著基於最佳安全實踐的修訂路線圖。
在我們討論飽和測試中使用的測試策略和技術之前,讓我們看壹些可能有用的場景:
建立壹個新辦公室
無論是成立新公司還是增加新辦公室,滲透測試都有助於識別網絡基礎設施中的潛在漏洞。例如,在增加新辦公室時執行內部測試非常重要,因為它將檢查網絡資源的可用性以及這些辦公室之間傳輸的流量類型。
部署新的網絡基礎設施
每壹個新的網絡基礎設施都應該能夠模擬黑客攻擊進行全面測試。在進行外部測試(事先對基礎設施了解不多)以確保邊界安全時,我們還應該進行內部測試,以確保網絡資源,如服務器、存儲、路由和接入設備,在邊界受到攻擊時仍然足夠安全,基礎設施能夠抵禦任何攻擊。
修改/升級現有基礎設施
。必要測試的數量取決於基礎設施改造的特點和程度。較小的更改(如對特定規則的配置更改)將只需要端口掃描來確保預期的防火墻行為,而較大的更改(如關鍵設備/操作系統版本的升級)可能需要徹底的重新測試。
部署新應用程序在對基礎架構進行全面測試之後,新應用程序(無論是連接到Internet還是Intranet)在部署到生產環境之前,也必須進行安全性測試。這個測試需要在“真實”的平臺上進行,以確保應用只使用預定義的端口,代碼本身是安全的。
修改/升級現有應用程序
隨著基礎架構的變化,應用程序也會發生本質上的變化。較小的更改,如用戶帳戶更改,不需要測試。然而,主要的變化,包括應用程序功能的變化,應該徹底地重新測試。
周期性重復測試
管理安全並不容易,公司不應該認為滲透測試是所有安全問題的最終解決方案。定期測試敏感系統以確保不會有計劃外的變化,這總是壹個非常好的做法。