扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
问:一个就职于某企业的同行最近向我讲述了他们对应用的测试过程以及该测试有多么地全面,他们还对应用系统进行网络渗透测试来确保其全方位的安全。我认为这听起来就像是浪费时间和资源。你同意我的看法吗?当确保应用系统安全时实施网络渗透测试有好处吗?如果有的话,会是什么好处呢?
答:在一个易遭受攻击的网络中拥有强健的、经过充分测试的应用没有太大意义,因为网络自身在配置或是流程中存在着未知的漏洞。尽管当前黑客们正在直接攻击Web应用,但他们也会毫不犹豫地充分利用可选路径闯入组织并偷窃信息资产。
谈及这两类渗透测试时你的说法是正确的,应用系统渗透测试更为重要。正如我刚刚所说,这是因为应用系统是当前攻击的关注点,并且网络应该已经受到网络边界防御如防火墙、入侵监测系统和防病毒网关的保护。正是有了像这样的边界防御措施,才迫使黑客们将攻击目标转移到应用系统。
然而,测试网络安全设备是否如期望的那样运行并实际的保护着网络十分重要。在系统集成或是部署时,多个设备、服务和功能的相互交互会产生意料之外的弱点,这往往只能通过把系统当作一个整体进行渗透测试找出来。
关于主动地分析系统潜在漏洞的过程,可以从糟糕的或是不正确的系统配置开始,然后是已知和未知的硬件或软件缺陷,以及流程和技术对策中的操作上弱点。网络渗透测试能够探究控制力度怎样,如密码选择,服务器、防火墙和IDS的配置,系统间的信任关系以及远程访问点对尝试溢出的抵抗力,同样还有网络防御措施成功地侦测攻击并对其做出响应的能力。
遵守PCI DSS 11.3(PCI DSS,支付卡行业数据安全标准)章节的要求,需要至少每年进行一次外部的和内部的渗透测试、包括网络层和应用层,同样还包括在进行任何重大的基础设施或应用升级或修改之后。行业标准如ISO 27001中也将它定义为组织应该定期进行的重要安全测试之一。此外,网络渗透测试的结果也为要求增加安全人员和技术方面的投资提供了证据。现在,这已成为非常值得做的事情。
婵犵數濮烽。浠嬪焵椤掆偓閸熷潡鍩€椤掆偓缂嶅﹪骞冨Ο璇茬窞闁归偊鍓涢悾娲⒑闂堟单鍫ュ疾濠婂嫭鍙忔繝濠傜墛閸嬨劍銇勯弽銊с€掗柟钘夊暣閺岀喖鎮滈埡鍌涚彋閻庤娲樺畝绋跨暦閸洖鐓涢柛灞剧矋濞堟悂姊绘担绛嬪殐闁搞劋鍗冲畷銏ゅ冀椤愩儱小闂佹寧绋戠€氼參宕伴崱妯镐簻闁靛牆鎳庢慨顒€鈹戦埥鍡椾簼婵犮垺锚铻炴俊銈呮噺閸嬪倹绻涢崱妯诲碍閻庢艾顦甸弻宥堫檨闁告挾鍠庨锝夘敆娓氬﹦鐭楁繛鎾村焹閸嬫捇鏌e☉娆愬磳闁哄本绋戦埞鎴﹀川椤曞懏鈻婄紓鍌欑劍椤ㄥ懘鎯岄崒鐐靛祦閹兼番鍔岄悞鍨亜閹烘垵顏╅悗姘槹閵囧嫰寮介妸褎鍣ョ紓浣筋嚙濡繈寮婚悢纰辨晣鐟滃秹鎮橀懠顒傜<閺夊牄鍔庣粻鐐烘煛鐏炶姤鍠橀柡浣瑰姍瀹曠喖顢橀悩铏钒闂備浇宕垫慨鎶芥⒔瀹ュ鍨傞柦妯猴級閿濆绀嬫い鏍ㄧ☉濞堟粓姊虹涵鍛【妞ゎ偅娲熼崺鈧い鎺嗗亾闁挎洩濡囧Σ鎰板籍閸繄顓洪梺缁樺姇瀵剙螖閸涱喚鍘搁梺鍓插亽閸嬪嫰鎮橀敃鍌涚厱閻庯綆鍋嗘晶顒傜磼閸屾稑绗ч柟鐟板閹煎湱鎲撮崟闈涙櫏闂傚倷绀侀幖顐も偓姘卞厴瀹曞綊鏌嗗鍛紱閻庡箍鍎遍ˇ浼村磿瀹ュ鐓曢柡鍥ュ妼婢ь垰霉閻樿秮顏堟箒闂佹寧绻傚Λ妤呭煝閺囥垺鐓冪憸婊堝礈濮樿泛钃熼柕濞у嫷鍋ㄩ梺缁樺姇椤曨參鍩㈤弴銏″€甸柨婵嗗€瑰▍鍥ㄣ亜韫囨稐鎲鹃柡灞炬礋瀹曢亶顢橀悢濂変紦