Kevin Beaver是Principle Logic LLC的創始人和首席顧問，他有16年的IT和信息安全的工作經驗。在進入信息安全服務行業前，他的工作曾經涉及衛生保健、電子商務、金融和教育行業的信息技術和安全。他擅長的領域包括網絡和無線網絡安全、信息安全評估和事故回應。 Kevin是Technology Association of Georgia的Information Security Society創始人和主席，而且是幾家大學和企業的IT顧問團成員。他在Southern Polytechnic State University獲得了計算機工程技術的碩士學位，在Georgia Tech獲得技術管理的博士學位。Kevin還獲得了CISSP、MCSE、Master CNE和IT Project+等證書。

[[126364]]

我們企業按照合規要求來進行滲透測試，但我聽說，更加頻繁地測試會更好。企業確定滲透測試的頻率的最佳方法是什么?是否有些企業或行業應該或者不應該更頻繁地進行滲透測試?

Kevin Beaver ：這是一個很好的問題，而且，這個問題經常被大家認為是理所當然。我們面臨的挑戰是，對于這個問題，并沒有一個最佳答案。這類似于“我應該多久鍛煉一次?”、“我應該多久去洗一次牙?”以及“我應該多久更換汽車的機油?”等問題，當涉及滲透測試時，我們面對著太多變量，例如網絡復雜程度、系統和應用變更的速度、預算等。問100個人，你可能會得到100個不同的答案。當然，如果還有第三方介入(例如牙醫、機械師和安全顧問)，他們可能會傾向于建議符合他們利益的做法，所以要小心。

我的意見是：你想要通過滲透測試達成什么目的?這可能是滿足合規性、滿足客戶或業務合作伙伴的要求。最終的目標應該是最大限度地減小業務風險。鑒于此，你需要盡可能多地進行滲透測試，以保持安全風險在可管理的水平。

在考慮到所有的事情以及試圖保持合理性時，我發現每季度進行滲透測試比較好。有些企業每年或每半年進行一次測試，有些高風險機構(例如金融服務公司和國防承包商)則是使用自動化工具實時進行測試。這取決于很多變量的共同作用。

最重要的是，你需要確保你正在做正確的測試，在最純粹意義上的“滲透測試”并不夠，更高級別的審查清單也不夠，此外，利用普通的漏洞掃描無疑會促使數據泄露事故的發生。我建議把重點放在執行“安全評估”上，查看所有正確的事情，而不是根據別人要求你所做的事情來限制你的測試。

最后，所有系統和應用都可能遭受攻擊，比滲透測試頻率更重要的是，你的企業需要確保隨著時間的推移有效而持續地執行安全測試。