从成本和安全专业技术角度来看,选择企业内部渗透测试比外部顾问更值得考虑,但这并不是简单的工作。
“拥有内部渗透测试人员的好处在于他们非常专注,”安全公司Lares咨询公司创始人Chris Nickerson表示,“他们能够追踪最新的攻击方式和漏洞,不间断监测系统,以及实践和提高自己的技能,但是为了实现这些目的,他们必须专注。”
Nickerson指出,大公司有资本成立完全致力于测试的团队,而对于大多数公司而言,渗透测试只是测试人员的部分职责。“渗透测试延迟或者取消的现象是司空见惯的,因为测试人员有太多其他的工作要处理。”
虽然兼职渗透测试专家也可以帮助进行渗透测试,但这样做是很冒险的。“现在有非常多各种各样的渗透测试工具,这些工具也都非常不错,”他表示,“Metasploit、 Canvas、Core、Nessus等漏洞检测工具供应商花了很长时间来确保安装他们的工具不会影响正在进行的测试,这是默认的:只要安装了这些工具,确定了漏洞利用是否可行,工具将被卸载。”
问题是,这些工具还提供高级别的调整和定制,那些经验不足的操作人员将会导致问题。“这些工具本身并不危险,但是当缺乏经验的测试人员操作和调控这些工具时,就有可能带来风险。”
Secure Network Technologies 公司副总裁Steve Stasiukonis也赞同,“重要服务器受到影响的话,可能带来各种问题。当你在测试最敏感的系统时,即使是telnet也要格外小心地运行。”
从这里我们可以看到经验以及专业知识的重要性,而市场上的测试产品都不包含这些,企业必须逐渐积累经验和专业知识,因为没有捷径可寻。
最好将内部渗透测试分阶段进行,Nickerson表示,“最重要的业务系统必须由最有经验的测试员进行测试,不管是内部测试员还是外部顾问。”
最富经验的专业内部渗透测试人员能执行公平的测试吗?他们对于公司的熟悉度是否会影响他们像外部人员一样公平地测试呢?“毫无疑问,”Stasiukonis表示,“而且,内部测试人员可能对于公司的某些方面测试不到位,例如,严格的密码政策就是内部测试人员经常忽视的地方,他们对于同事会放宽要求。”
更严重的问题就是,内部测试人员可能会高估他们对公司的认识,“内部测试人员很容易会认为他们知道公司及其系统的一切信息,尤其是较大型企业,他们测试他们所知的系统数量,而却可能忽略了整个部门甚至整个网络。”
公司的测试状态也可能会影响测试结果,“渗透测试的目的在于检测企业系统是否能够有效防御现实世界威胁,”Nickerson表示,“不需要让公司知道正在进行的测试。”
他建议测试人员只通知那些必须知道测试(因为业务和运营的重要原因)的人员。
内部渗透测试最常被追捧的好处在于节省成本,但是这里有一些需要考虑的问题。Nickerson认为,不能只从专注于渗透测试的内部人员与外部渗透测试人员的成本比较的角度来考虑成本问题,还应该考虑内部投资的回报情况,投资的回报并不仅仅局限于测试本身以及专业测试人员带来的安全利益。
拥有内部渗透测试人员的主要好处之一是,测试人员能够与企业员工沟通并说明渗透测试是安全重要组成部分以及为什么测试(无论内部测试还是外包测试)胜过漏洞评估。
“自动漏洞扫描生成的信息可能不是百分之百准确的,可能不适用于企业的最重要程序,对于不精通技术的首席财务官或者其他执行官毫无意义,”他表示,“这些信息并不能像渗透测试一样提供有效的方法。”
经验丰富的渗透测试人员可以向执行人员展示为什么渗透测试是值得的投资。
例如,告诉他们公司系统的漏洞数量,邮件无法发送的原因等,“向首席财政官说明这些漏洞如何影响公司的总帐目,并影响公司的运营,这样他们就能够明白问题,”Nickerson表示,“描绘出这些漏洞对现实世界影响的画面,同时能够增强企业的安全教育。”
Nickerson认为,不断变化和变异的威胁环境将会让越来越多的公司考虑添加内部渗透测试,“最重要的在于,给予测试者足够的时间,让他们全部精力集中在测试上,并不断学习技术和知识,”他表示,“企业应该全面权衡外部专家花费与内部测试人员成本。”
【编辑推荐】
- 如何进入渗透测试行业道德黑客是否需要鉴定
- 企业级Web安全渗透测试之SSL篇
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/138678.html<
