Kevin Beaver是Principle Logic LLC的創(chuàng)始人和首席顧問，他有16年的IT和信息安全的工作經(jīng)驗。在進(jìn)入信息安全服務(wù)行業(yè)前，他的工作曾經(jīng)涉及衛(wèi)生保健、電子商務(wù)、金融和教育行業(yè)的信息技術(shù)和安全。他擅長的領(lǐng)域包括網(wǎng)絡(luò)和無線網(wǎng)絡(luò)安全、信息安全評估和事故回應(yīng)。 Kevin是Technology Association of Georgia的Information Security Society創(chuàng)始人和主席，而且是幾家大學(xué)和企業(yè)的IT顧問團成員。他在Southern Polytechnic State University獲得了計算機工程技術(shù)的碩士學(xué)位，在Georgia Tech獲得技術(shù)管理的博士學(xué)位。Kevin還獲得了CISSP、MCSE、Master CNE和IT Project+等證書。

[[126364]]

我們企業(yè)按照合規(guī)要求來進(jìn)行滲透測試，但我聽說，更加頻繁地測試會更好。企業(yè)確定滲透測試的頻率的最佳方法是什么?是否有些企業(yè)或行業(yè)應(yīng)該或者不應(yīng)該更頻繁地進(jìn)行滲透測試?

Kevin Beaver ：這是一個很好的問題，而且，這個問題經(jīng)常被大家認(rèn)為是理所當(dāng)然。我們面臨的挑戰(zhàn)是，對于這個問題，并沒有一個最佳答案。這類似于“我應(yīng)該多久鍛煉一次?”、“我應(yīng)該多久去洗一次牙?”以及“我應(yīng)該多久更換汽車的機油?”等問題，當(dāng)涉及滲透測試時，我們面對著太多變量，例如網(wǎng)絡(luò)復(fù)雜程度、系統(tǒng)和應(yīng)用變更的速度、預(yù)算等。問100個人，你可能會得到100個不同的答案。當(dāng)然，如果還有第三方介入(例如牙醫(yī)、機械師和安全顧問)，他們可能會傾向于建議符合他們利益的做法，所以要小心。

我的意見是：你想要通過滲透測試達(dá)成什么目的?這可能是滿足合規(guī)性、滿足客戶或業(yè)務(wù)合作伙伴的要求。最終的目標(biāo)應(yīng)該是最大限度地減小業(yè)務(wù)風(fēng)險。鑒于此，你需要盡可能多地進(jìn)行滲透測試，以保持安全風(fēng)險在可管理的水平。

在考慮到所有的事情以及試圖保持合理性時，我發(fā)現(xiàn)每季度進(jìn)行滲透測試比較好。有些企業(yè)每年或每半年進(jìn)行一次測試，有些高風(fēng)險機構(gòu)(例如金融服務(wù)公司和國防承包商)則是使用自動化工具實時進(jìn)行測試。這取決于很多變量的共同作用。

最重要的是，你需要確保你正在做正確的測試，在最純粹意義上的“滲透測試”并不夠，更高級別的審查清單也不夠，此外，利用普通的漏洞掃描無疑會促使數(shù)據(jù)泄露事故的發(fā)生。我建議把重點放在執(zhí)行“安全評估”上，查看所有正確的事情，而不是根據(jù)別人要求你所做的事情來限制你的測試。

最后，所有系統(tǒng)和應(yīng)用都可能遭受攻擊，比滲透測試頻率更重要的是，你的企業(yè)需要確保隨著時間的推移有效而持續(xù)地執(zhí)行安全測試。