“笔测试”通常被称为“道德黑客”或“白帽黑客”,指的是使用与网络骗子相同的工具和技术,暴露系统和服务中任何薄弱的安全环节。
渗透测试,或笔测试,是故意试图从外部闯入系统以暴露其漏洞的做法。
它是什么?
渗透测试可以帮助确定系统是否容易受到攻击,防御是否足够,以及测试击败了哪些防御(如果有的话)。
笔测试的目的是渗透到目标系统中,实现一套预先设定的目标或场景。这些有组织的攻击通常被描述为白盒(预先知道一些系统知识,这可能模拟内部线人提供的信息)或黑盒(对内部不做任何假设,但将扫描已知的漏洞)。灰盒渗透测试是两者的结合(其中一些必要的信息可能从公司类型及其部署方式得知或假定)。
渗透测试发现的安全问题将被报告给系统所有者。从历史上看,这种性质的测试是在系统或升级上线之前的验收测试阶段完成的。然而,我们强烈建议在整个开发生命周期中都进行这种实践,无论是在接近实际的情况下还是在完全可操作的情况下。
你怎么了?
企业不能再用“希望作为策略”来防止网络犯罪了。这不仅仅是一个使用病毒检查器和防火墙的问题。在整个系统寿命周期中定期使用渗透测试,并不断升级策略,笔测试可以成为风险管理工具包的重要组成部分。
笔测试可以降低业务关键系统和处理敏感客户信息的系统中断或更糟的风险。
权衡是什么?
渗透测试既耗时又昂贵。您需要在这些成本和这些系统的业务价值之间取得适当的平衡。
许多现有的测试人员和从业人员都习惯了“安全三明治”方法,即在项目开始时列出需求,然后在项目完成时进行测试。我们认为这是一个错误。
通过将笔测试作为开发和部署过程的一部分,以及贯穿其生命周期,您可以降低违规的风险。然而,这需要改变笔测试专家的参与模式,他们必须更接近系统,并证明它们的安全程度。
它是如何被使用的?
它用于通过提前发现问题来保护内部系统,从而使问题得以缓解。我们建议以一种持续的、灵活的方式来完成这项工作,将在适当团队的待办事项列表中发现的任何错误都提供给它。
你想建议一个需要解码的话题吗?
请留下您的电子邮件地址,一旦准备好了,我们会与您联系的。
