一個就職于某企業的同行最近向我講述了他們對應用的測試過程以及該測試有多么地全面，他們還對應用系統進行網絡滲透測試來確保其全方位的安全。我認為這聽起來就像是浪費時間和資源。你同意我的看法嗎？當確保應用系統安全時實施網絡滲透測試有好處嗎？如果有的話，會是什么好處呢？

在一個易遭受攻擊的網絡中擁有強健的、經過充分測試的應用沒有太大意義，因為網絡自身在配置或是流程中存在著未知的漏洞。盡管當前黑客們正在直接攻擊Web應用，但他們也會毫不猶豫地充分利用可選路徑闖入組織并偷竊信息資產。

談及這兩類滲透測試時你的說法是正確的，應用系統滲透測試更為重要。正如我剛剛所說，這是因為應用系統是當前攻擊的關注點，并且網絡應該已經受到網絡邊界防御如防火墻、入侵監測系統和防病毒網關的保護。正是有了像這樣的邊界防御措施，才迫使黑客們將攻擊目標轉移到應用系統。

然而，測試網絡安全設備是否如期望的那樣運行并實際的保護著網絡十分重要。在系統集成或是部署時，多個設備、服務和功能的相互交互會產生意料之外的弱點，這往往只能通過把系統當作一個整體進行滲透測試找出來。

關于主動地分析系統潛在漏洞的過程，可以從糟糕的或是不正確的系統配置開始，然后是已知和未知的硬件或軟件缺陷，以及流程和技術對策中的操作上弱點。網絡滲透測試能夠探究控制力度怎樣，如密碼選擇，服務器、防火墻和IDS的配置，系統間的信任關系以及遠程訪問點對嘗試溢出的抵抗力，同樣還有網絡防御措施成功地偵測攻擊并對其做出響應的能力。

遵守PCI DSS 11.3（PCI DSS，支付卡行業數據安全標準）章節的要求，需要至少每年進行一次外部的和內部的滲透測試、包括網絡層和應用層，同樣還包括在進行任何重大的基礎設施或應用升級或修改之后。行業標準如ISO 27001中也將它定義為組織應該定期進行的重要安全測試之一。此外，網絡滲透測試的結果也為要求增加安全人員和技術方面的投資提供了證據。現在，這已成為非常值得做的事情。