企業內部滲透測試節省預算的幾點建議
從成本和安全專業技術角度來看,選擇企業內部滲透測試比外部顧問更值得考慮,但這并不是簡單的工作。
“擁有內部滲透測試人員的好處在于他們非常專注,”安全公司Lares咨詢公司創始人Chris Nickerson表示,“他們能夠追蹤最新的攻擊方式和漏洞,不間斷監測系統,以及實踐和提高自己的技能,但是為了實現這些目的,他們必須專注。”
Nickerson指出,大公司有資本成立完全致力于測試的團隊,而對于大多數公司而言,滲透測試只是測試人員的部分職責。“滲透測試延遲或者取消的現象是司空見慣的,因為測試人員有太多其他的工作要處理。”
雖然兼職滲透測試專家也可以幫助進行滲透測試,但這樣做是很冒險的。“現在有非常多各種各樣的滲透測試工具,這些工具也都非常不錯,”他表示,“Metasploit、 Canvas、Core、Nessus等漏洞檢測工具供應商花了很長時間來確保安裝他們的工具不會影響正在進行的測試,這是默認的:只要安裝了這些工具,確定了漏洞利用是否可行,工具將被卸載。”
問題是,這些工具還提供高級別的調整和定制,那些經驗不足的操作人員將會導致問題。“這些工具本身并不危險,但是當缺乏經驗的測試人員操作和調控這些工具時,就有可能帶來風險。”
Secure Network Technologies 公司副總裁Steve Stasiukonis也贊同,“重要服務器受到影響的話,可能帶來各種問題。當你在測試最敏感的系統時,即使是telnet也要格外小心地運行。”
從這里我們可以看到經驗以及專業知識的重要性,而市場上的測試產品都不包含這些,企業必須逐漸積累經驗和專業知識,因為沒有捷徑可尋。
最好將內部滲透測試分階段進行,Nickerson表示,“最重要的業務系統必須由最有經驗的測試員進行測試,不管是內部測試員還是外部顧問。”
最富經驗的專業內部滲透測試人員能執行公平的測試嗎?他們對于公司的熟悉度是否會影響他們像外部人員一樣公平地測試呢?“毫無疑問,”Stasiukonis表示,“而且,內部測試人員可能對于公司的某些方面測試不到位,例如,嚴格的密碼政策就是內部測試人員經常忽視的地方,他們對于同事會放寬要求。”
更嚴重的問題就是,內部測試人員可能會高估他們對公司的認識,“內部測試人員很容易會認為他們知道公司及其系統的一切信息,尤其是較大型企業,他們測試他們所知的系統數量,而卻可能忽略了整個部門甚至整個網絡。”
公司的測試狀態也可能會影響測試結果,“滲透測試的目的在于檢測企業系統是否能夠有效防御現實世界威脅,”Nickerson表示,“不需要讓公司知道正在進行的測試。”
他建議測試人員只通知那些必須知道測試(因為業務和運營的重要原因)的人員。
內部滲透測試最常被追捧的好處在于節省成本,但是這里有一些需要考慮的問題。Nickerson認為,不能只從專注于滲透測試的內部人員與外部滲透測試人員的成本比較的角度來考慮成本問題,還應該考慮內部投資的回報情況,投資的回報并不僅僅局限于測試本身以及專業測試人員帶來的安全利益。
擁有內部滲透測試人員的主要好處之一是,測試人員能夠與企業員工溝通并說明滲透測試是安全重要組成部分以及為什么測試(無論內部測試還是外包測試)勝過漏洞評估。
“自動漏洞掃描生成的信息可能不是百分之百準確的,可能不適用于企業的最重要程序,對于不精通技術的首席財務官或者其他執行官毫無意義,”他表示,“這些信息并不能像滲透測試一樣提供有效的方法。”
經驗豐富的滲透測試人員可以向執行人員展示為什么滲透測試是值得的投資。
例如,告訴他們公司系統的漏洞數量,郵件無法發送的原因等,“向首席財政官說明這些漏洞如何影響公司的總帳目,并影響公司的運營,這樣他們就能夠明白問題,”Nickerson表示,“描繪出這些漏洞對現實世界影響的畫面,同時能夠增強企業的安全教育。”
Nickerson認為,不斷變化和變異的威脅環境將會讓越來越多的公司考慮添加內部滲透測試,“最重要的在于,給予測試者足夠的時間,讓他們全部精力集中在測試上,并不斷學習技術和知識,”他表示,“企業應該全面權衡外部專家花費與內部測試人員成本。”
【編輯推薦】
