用户定期进行渗透测试的主要原因有二:一是找到并堵住可能被黑客利用的路径,二是满足合规以避免被处罚。许多组织每年都至少实施一次渗透测试,但渗透测试的最佳频率应该是多少?一年一次?还是更多次?
答案取决于多种因素,例如开发周期的类型、应用程序的关键程度,以及用户所处的行业等。
1、开发周期
如果你的团队是敏捷开发模式,它的特点是发布周期短,迭代速度快。这将导致难以跟踪对代码库所做的更改,并增加了出现安全漏洞的可能性。为了降低安全风险,一年只测试一次显然是不够的。也就是说,渗透测试的周期应该与组织的开发周期保持一致。对于静态web应用程序,每4-6个月测试一次即可。但对于经常更新的web应用程序,则需要更加频繁地测试。每月甚至每周测试一次。
2、关键应用
另一种情况是Web应用程序之于业务的关键程度。对于非常依赖其web应用程序开展业务,任何系统停摆都可能导致严重财务损失的组织,必须对其关键web应用频繁地进行测试,以控制业务中断或数据丢失的风险。至于非关键业务的web应用程序则可依据组织所具备的资源,看情况进行测试。
3、面向客户
如果组织的web应用程序都在内部,频繁的渗透测试就没有必要。然而,如果组织的web应用程序可供公众(客户)访问,根据应用程序的大小和复杂性,可能需要每月甚至每周的测试。除了外部访问的情况,如果组织属于高风险行业,也需要考虑高频次的测试。
4、缺乏专职人员
这可能听上去违反直觉,但事实是如果组织自身没有安全团队,可能需要更加频繁地进行测试。原因是没有专职安全人员的组织更容易受到攻击,所以更加需要依靠外部的渗透测试人员来评估组织的安全状况。评估频次与组织的规模和复杂性成正比。
5、收并购
在商业收并购过程中,经常会出现很多混乱复杂的局面,导致关键系统和数据的风险程度陡增。因此,在收并购期间更频繁地进行渗透测试非常重要。2016年万豪收购喜达屋,却没有意识到两年前的黑客攻击导致后者超过5亿客户记录被泄露,“面临高达10亿美元的监管罚款和诉讼费用”。
持续渗透测试
传统的渗透测试是按照固定的时间表进行的,比如一年一次或半年一次,属于定期评估的概念。持续渗透测试则是一个不断扫描系统以发现漏洞的过程,以期在攻击者利用漏洞之前识别并修复漏洞。这对于具有敏捷开发周期的组织来说尤为重要。由于经常发布新代码,因此出现安全漏洞的可能性更大。
虽然定期渗透测试很重要,但在企业越来越依赖其web应用程序的当今世界,显然已经不够,持续渗透测试会越来越重要。
参考阅读
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...