什么是網絡滲透測試
滲透測試是一種最老的評估計算機系統安全性的方法。在70年代初期,國防部就曾使用這種方法發現了計算機系統的安全漏洞,并促使開發構建更安全系統的程序。滲透測試越來越多地被許多組織用來保證信息系統和服務的安全性,從而使安全性漏洞在暴露之前就被修復。
由于惡意代碼、黑客、不滿員工所造成的網絡入侵、數據偷竊和攻擊的頻率和嚴重程度會繼續增加,所以網絡安全漏洞和數據偷竊所造成的風險和代價是極大的。由于企業電子化的興起及其對安全性的要求,公司網絡的遠程訪問也在增加。事實上,即使網絡實現管理的很好,并使用了最新的硬件和軟件,也仍然可能受到錯誤配置或軟件缺陷的影響。這可能最終會將敏感信息的訪問權限泄漏給入侵者。使用滲透測試工具則能夠顯著地減少這種情況的發生。
雖然滲透測試的主要目標是發現組織中網絡基礎架構的安全漏洞;但它也可能有許多次要目標,包括測試組織的安全問題識別和響應能力,測試員工安全知識或測試安全性政策規范等。
執行網絡滲透測試的原因
滲透測試能夠通過識別安全問題來幫助一個單位理解當前的安全狀況。這使促使許多單位開發操作規劃來減少攻擊或誤用的威脅。
撰寫良好的滲透測試結果可以幫助管理人員建立可靠的商業案例,以便證明所增加的安全性預算或者將安全性問題傳達到高級管理層。
安全性不是某時刻的解決方案,而是需要嚴格評估的一個過程。安全性措施需要進行定期檢查,才能發現新的威脅。滲透測試和公正的安全性分析可以使許多單位重視他們最需要的內部安全資源。此外,獨立的安全審計也正迅速成為獲得網絡安全保險的一個要求。
現在符合規范和法律要求也是執行業務的一個必要條件。滲透測試工具可以幫助許多單位滿足這些規范要求。
啟動一個企業電子化項目的核心目標之一是實現與戰略伙伴、提供商、客戶和其他電子化相關人員的緊密協作。要實現這個目標,許多單位有時會允許合作伙伴、提供商、B2B交易中心、客戶和其他相關人員使用可信連接方式來訪問他們的網絡。一個良好執行的滲透測試和安全性審計可以幫助許多單位發現這個復雜結構中的最脆弱鏈路,并保證所有連接的實體都擁有標準的安全性基線。
當擁有安全性實踐和基礎架構,滲透測試會對商業措施之間的反饋實施重要的驗證,同時提供了一個以最小風險而成功實現的安全性框架。
【編輯推薦】
