什么是網絡滲透測試
滲透測試是一種最老的評估計算機系統(tǒng)安全性的方法。在70年代初期,國防部就曾使用這種方法發(fā)現(xiàn)了計算機系統(tǒng)的安全漏洞,并促使開發(fā)構建更安全系統(tǒng)的程序。滲透測試越來越多地被許多組織用來保證信息系統(tǒng)和服務的安全性,從而使安全性漏洞在暴露之前就被修復。
由于惡意代碼、黑客、不滿員工所造成的網絡入侵、數(shù)據(jù)偷竊和攻擊的頻率和嚴重程度會繼續(xù)增加,所以網絡安全漏洞和數(shù)據(jù)偷竊所造成的風險和代價是極大的。由于企業(yè)電子化的興起及其對安全性的要求,公司網絡的遠程訪問也在增加。事實上,即使網絡實現(xiàn)管理的很好,并使用了最新的硬件和軟件,也仍然可能受到錯誤配置或軟件缺陷的影響。這可能最終會將敏感信息的訪問權限泄漏給入侵者。使用滲透測試工具則能夠顯著地減少這種情況的發(fā)生。
雖然滲透測試的主要目標是發(fā)現(xiàn)組織中網絡基礎架構的安全漏洞;但它也可能有許多次要目標,包括測試組織的安全問題識別和響應能力,測試員工安全知識或測試安全性政策規(guī)范等。
執(zhí)行網絡滲透測試的原因
滲透測試能夠通過識別安全問題來幫助一個單位理解當前的安全狀況。這使促使許多單位開發(fā)操作規(guī)劃來減少攻擊或誤用的威脅。
撰寫良好的滲透測試結果可以幫助管理人員建立可靠的商業(yè)案例,以便證明所增加的安全性預算或者將安全性問題傳達到高級管理層。
安全性不是某時刻的解決方案,而是需要嚴格評估的一個過程。安全性措施需要進行定期檢查,才能發(fā)現(xiàn)新的威脅。滲透測試和公正的安全性分析可以使許多單位重視他們最需要的內部安全資源。此外,獨立的安全審計也正迅速成為獲得網絡安全保險的一個要求。
現(xiàn)在符合規(guī)范和法律要求也是執(zhí)行業(yè)務的一個必要條件。滲透測試工具可以幫助許多單位滿足這些規(guī)范要求。
啟動一個企業(yè)電子化項目的核心目標之一是實現(xiàn)與戰(zhàn)略伙伴、提供商、客戶和其他電子化相關人員的緊密協(xié)作。要實現(xiàn)這個目標,許多單位有時會允許合作伙伴、提供商、B2B交易中心、客戶和其他相關人員使用可信連接方式來訪問他們的網絡。一個良好執(zhí)行的滲透測試和安全性審計可以幫助許多單位發(fā)現(xiàn)這個復雜結構中的最脆弱鏈路,并保證所有連接的實體都擁有標準的安全性基線。
當擁有安全性實踐和基礎架構,滲透測試會對商業(yè)措施之間的反饋實施重要的驗證,同時提供了一個以最小風險而成功實現(xiàn)的安全性框架。
【編輯推薦】
