企業(yè)在安全上投入了巨大的精力和資金，但有往往會(huì)產(chǎn)生這樣的感受：當(dāng)基本的軟硬件設(shè)施配置好之后，安全防衛(wèi)水平就到了一個(gè)相對(duì)的瓶頸，再加大投入并不能明顯提高安全水平。實(shí)際上，這種“安全玻璃天花板”在很多行業(yè)和企業(yè)中都存在，伴隨著安全行業(yè)的發(fā)展和管理人員安全意識(shí)的提高，以滲透測(cè)試為代表的“安全服務(wù)”正在得到更多的認(rèn)可。

進(jìn)行滲透測(cè)試的目的

1. 信息安全等級(jí)保護(hù)的要求 

2015年12月28日，銀監(jiān)會(huì)等部門發(fā)布的《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法(征求意見稿)》中明確要求：“網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)按照國(guó)家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國(guó)家信息安全等級(jí)保護(hù)制度的要求，開展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試。”信息安全等級(jí)保護(hù)是由等級(jí)測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定，按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。值得關(guān)注的是，在信息安全風(fēng)險(xiǎn)評(píng)估中，滲透測(cè)試是一種常用且非常重要的手段。

2. 滲透測(cè)試助力PCI DSS合規(guī)建設(shè)  

在PCI DSS（Payment Card Industry Security Standards Council支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)）第 11.3中有這樣的要求：至少每年或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級(jí)或修改后（例如操作系統(tǒng)升級(jí)、環(huán)境中添加子網(wǎng)絡(luò)或環(huán)境中添加網(wǎng)絡(luò)服務(wù)器）都需要執(zhí)行內(nèi)部和外部基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測(cè)試。

3. ISO27001認(rèn)證的基線要求  

ISO27001 附錄“A12信息系統(tǒng)開發(fā)、獲取和維護(hù)”的要求，建立了軟件安全開發(fā)周期，并且特別提出應(yīng)在上線前參照例如OWASP標(biāo)準(zhǔn)進(jìn)行額外的滲透測(cè)試 。

4. 銀監(jiān)會(huì)多項(xiàng)監(jiān)管指引中要求  

依據(jù)銀監(jiān)會(huì)頒發(fā)的多項(xiàng)監(jiān)管指引中明確要求，對(duì)銀行的安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全等方面需要進(jìn)行的滲透測(cè)試和管控能力的考察與評(píng)價(jià)。

網(wǎng)站為什么要做滲透測(cè)試？除了滿足政策的合規(guī)性要求、提高客戶的操作安全性或滿足業(yè)務(wù)合作伙伴的要求。最終的目標(biāo)應(yīng)該是最大限度地減小業(yè)務(wù)風(fēng)險(xiǎn)。企業(yè)需要盡可能多地進(jìn)行滲透測(cè)試，以保持安全風(fēng)險(xiǎn)在可控制的范圍內(nèi)。

網(wǎng)站開發(fā)過(guò)程中，會(huì)發(fā)生很多難以控制、難以發(fā)現(xiàn)的隱形安全問(wèn)題，當(dāng)這些大量的瑕疵暴露于外部網(wǎng)絡(luò)環(huán)境中的時(shí)候，就產(chǎn)生了信息安全威脅。這個(gè)問(wèn)題，企業(yè)可以通過(guò)定期的滲透測(cè)試進(jìn)行有效防范，早發(fā)現(xiàn)、早解決。經(jīng)過(guò)專業(yè)滲透人員測(cè)試加固后的系統(tǒng)會(huì)變得更加穩(wěn)定、安全，測(cè)試后的報(bào)告可以幫助管理人員進(jìn)行更好的項(xiàng)目決策，同時(shí)證明增加安全預(yù)算的必要性，并將安全問(wèn)題傳達(dá)到高級(jí)管理層。

滲透測(cè)試是一種全新的安全防護(hù)思路。知道創(chuàng)宇云安全的滲透測(cè)試可以幫助企業(yè)的安全防護(hù)從被動(dòng)轉(zhuǎn)換成了主動(dòng)，已經(jīng)有越來(lái)越多重點(diǎn)行業(yè)的企業(yè)通過(guò)獨(dú)立的第三方安全機(jī)構(gòu)來(lái)進(jìn)行“滲透測(cè)試”，以求更好的安全防護(hù)效果。目前，知道創(chuàng)宇云安全滲透測(cè)試已經(jīng)服務(wù)了互聯(lián)網(wǎng)金融、電商、教育等近200家企業(yè)。

如何進(jìn)行滲透測(cè)試來(lái)評(píng)估安全

滲透測(cè)試是由專業(yè)安全人員完全模擬入侵者所用的常見手段對(duì)測(cè)試目標(biāo)發(fā)起模擬入侵的過(guò)程。整個(gè)過(guò)程的目的在于通過(guò)利用各種已知漏洞識(shí)別手段充分挖掘網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層乃至業(yè)務(wù)邏輯層中可能存在且被利用的潛在威脅點(diǎn)。在不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的情況下，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，讓管理人員最直觀的看到系統(tǒng)面臨的安全威脅。

滲透測(cè)試如何操作？

許多企業(yè)管理人員有個(gè)誤區(qū)，認(rèn)為滲透測(cè)試只是通過(guò)自動(dòng)化的工具進(jìn)行檢測(cè)、處理生成的報(bào)告，所以費(fèi)用成本是可以很低去控制的，其實(shí)不然。成功的滲透測(cè)試報(bào)告中安全工具的占比僅僅是一部分，成功的部分更多的是依靠專業(yè)的人工、雙向的思維及豐富的經(jīng)驗(yàn)。知道創(chuàng)宇云安全提供的滲透測(cè)試服務(wù)，包括其中所有必需項(xiàng)：專業(yè)的安全滲透團(tuán)隊(duì)人員，都是有著十年以上的安全經(jīng)驗(yàn)，曾經(jīng)為微軟等大型企業(yè)提供漏洞服務(wù)。

滲透測(cè)試與安全檢測(cè)的區(qū)別

滲透測(cè)試不同于傳統(tǒng)的安全掃描，在整體風(fēng)險(xiǎn)評(píng)估框架中，脆弱性與安全掃描的關(guān)系可描述為“承上”，即如上面所講，是對(duì)掃描結(jié)果的一種驗(yàn)證和補(bǔ)充。另外，滲透測(cè)試相對(duì)傳統(tǒng)安全掃描的最大差異在于滲透測(cè)試需要大量的人工介入的工作。這些工作主要由專業(yè)安全人員發(fā)起，一方面，他們利用自己的專業(yè)知識(shí)，對(duì)掃描結(jié)果進(jìn)行深入的分析和判斷。另一方面則是根據(jù)他們的經(jīng)驗(yàn)，對(duì)掃描器無(wú)法發(fā)現(xiàn)的、隱藏較深的安全問(wèn)題進(jìn)行手工的檢查和測(cè)試，從而做出更為精確的驗(yàn)證（或模擬入侵）行為。

手動(dòng)測(cè)試的必要性？

手動(dòng)測(cè)試作為自動(dòng)測(cè)試的一種補(bǔ)充，是滲透測(cè)試過(guò)程中必不可少的一個(gè)重要部分，但因手動(dòng)測(cè)試由測(cè)試人員發(fā)起，因此，測(cè)試人員的個(gè)人技能和經(jīng)驗(yàn)直接影響手動(dòng)測(cè)試的結(jié)果。知道創(chuàng)宇云安全滲透測(cè)試的核心團(tuán)隊(duì)由國(guó)內(nèi)知名安全研究員、知道創(chuàng)宇CSO黑哥和知道創(chuàng)宇技術(shù)副總裁余弦?guī)ш?duì)。

企業(yè)通過(guò)滲透測(cè)試可以獲得？
1. 技術(shù)安全性的驗(yàn)證

滲透測(cè)試作為獨(dú)立的安全技術(shù)服務(wù)，其主要目的就在于驗(yàn)證整個(gè)目標(biāo)系統(tǒng)的技術(shù)安全性，通過(guò)滲透測(cè)試，可在技術(shù)層面定性的分析系統(tǒng)的安全性。

2. 查找安全隱患點(diǎn)

滲透測(cè)試是對(duì)傳統(tǒng)安全弱點(diǎn)的串聯(lián)并形成路徑，最終通過(guò)路徑式的利用而達(dá)到模擬入侵的效果。所以，在滲透測(cè)試的整個(gè)過(guò)程中，可有效的驗(yàn)證每個(gè)安全隱患點(diǎn)的存在及其可利用程度。

3. 安全教育

滲透測(cè)試的結(jié)果可作為內(nèi)部安全意識(shí)的案例，在對(duì)相關(guān)的接口人員進(jìn)行安全教育時(shí)使用。

4. 安全技能的提升

一份專業(yè)的滲透測(cè)試報(bào)告不但可為用戶提供作為案例，更可作為常見安全原理的學(xué)習(xí)參考。

了解更多測(cè)試分析相關(guān)資訊、教程、產(chǎn)品>>>

慧都在線商城正式上線啦！更快更優(yōu)惠！詳情查看全新在線商城頁(yè)>>>