所有CISO都至少知道一起滲透測(cè)試失敗的案例。其中很多人能舉出幾起失敗得很徹底的案例。因此，在管理此類事務(wù)過(guò)程中采納最佳實(shí)踐，就是很值得考慮的做法了。鑒于滲透測(cè)試在典型風(fēng)險(xiǎn)管理中所占的重要角色，這對(duì)現(xiàn)代企業(yè)安全團(tuán)隊(duì)來(lái)說(shuō)十分重要。

以下建議，出自不同設(shè)置、不同環(huán)境和不同產(chǎn)業(yè)的滲透測(cè)試經(jīng)驗(yàn)。每一條建議，都可以幫助安全團(tuán)隊(duì)充分利用測(cè)試的價(jià)值，同時(shí)減小出錯(cuò)的概率。

當(dāng)你考慮涉及到攻擊自身資產(chǎn)的滲透測(cè)試時(shí)，恰當(dāng)?shù)墓芾黻P(guān)注力就變得十分緊迫了。

關(guān)鍵點(diǎn)1：與滲透測(cè)試團(tuán)隊(duì)建立緊密關(guān)系

滲透測(cè)試員被賦予了對(duì)公司系統(tǒng)和基礎(chǔ)設(shè)施的特別權(quán)限，他們會(huì)對(duì)公司特定弱點(diǎn)有著獨(dú)特的理解和洞見。與測(cè)試團(tuán)隊(duì)人員，尤其是外部顧問們，發(fā)展一種信任關(guān)系，是最小化此敏感信息和知識(shí)不恰當(dāng)處理風(fēng)險(xiǎn)的極佳方式。

關(guān)鍵點(diǎn)2：掌握滲透測(cè)試過(guò)程細(xì)節(jié)

對(duì)滲透測(cè)試細(xì)節(jié)一無(wú)所知，是監(jiān)督團(tuán)隊(duì)失職或缺乏技術(shù)背景的癥狀。花點(diǎn)時(shí)間去了解滲透測(cè)試涉及的工具、技術(shù)、過(guò)程和發(fā)現(xiàn)，你會(huì)發(fā)現(xiàn)自己將測(cè)試結(jié)果轉(zhuǎn)化為有意義行動(dòng)的能力和洞見，都大幅提升了。

關(guān)鍵點(diǎn)3：為滲透測(cè)試員劃定明確的邊界條件

滲透測(cè)試的本質(zhì)，涉及在目標(biāo)系統(tǒng)中查找非預(yù)期功能或條件的創(chuàng)新性探索。除非測(cè)試員理解明確的邊界(比如不能在任何生產(chǎn)系統(tǒng)中執(zhí)行拒絕服務(wù)攻擊)，否則就存在他們撈過(guò)界的可能性。安全經(jīng)理有責(zé)任確保這一情況不出現(xiàn)。

關(guān)鍵點(diǎn)4：用滲透測(cè)試呈現(xiàn)漏洞

獲得拒絕承認(rèn)良好安全重要性的業(yè)務(wù)部門或經(jīng)理關(guān)注的一個(gè)強(qiáng)力技術(shù)，就是暴露出與他們的系統(tǒng)或應(yīng)用直接關(guān)聯(lián)的漏洞。面對(duì)漏洞的明顯證據(jù)，很多團(tuán)隊(duì)都會(huì)馬上重視起安全，更平滑地參與到需要他們協(xié)作的工作中。

關(guān)鍵點(diǎn)5：千萬(wàn)別用滲透測(cè)試來(lái)證明沒有漏洞

或許，滲透測(cè)試活動(dòng)負(fù)責(zé)人會(huì)犯的最嚴(yán)重的錯(cuò)誤，就是將對(duì)滲透測(cè)試所發(fā)現(xiàn)漏洞的修復(fù)，錯(cuò)誤理解為清除掉了所有的漏洞。就像所有的測(cè)試一樣，滲透測(cè)試在呈現(xiàn)失誤上非常棒，但卻是證明不存在失誤的糟糕方法。千萬(wàn)別把對(duì)滲透測(cè)試找出的某些漏洞的修復(fù)，混淆成了安全。這是要盡力避免的一種低級(jí)錯(cuò)誤。