當(dāng)前位置:首頁 >  IDC >  安全 >  正文

知道創(chuàng)宇云安全:企業(yè)為什么要做滲透測試?

 2016-04-21 13:54  來源: 互聯(lián)網(wǎng)   我來投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競價(jià),好“米”不錯(cuò)過

網(wǎng)絡(luò)經(jīng)濟(jì)的興起,越來越多的互聯(lián)網(wǎng)企業(yè)和正在轉(zhuǎn)型的傳統(tǒng)企業(yè)將交易平臺(tái)放到了互聯(lián)網(wǎng)上,伴隨而來的是需要為在線交易系統(tǒng)投入巨大的精力和資金。但是,就企業(yè)的安全團(tuán)隊(duì)看來,當(dāng)基本的安全設(shè)備搭建配置妥當(dāng)之后,防御能力的體現(xiàn)卻似乎差強(qiáng)人意。在如此瓶頸之下,一味的投入也不能明顯看到安全水平的提升,這是典型的"安全性玻璃天花板"狀況,存在于不同行業(yè)、不同發(fā)展階段的企業(yè)當(dāng)中。

企業(yè)在安全上投入了巨大的精力和資金,但有往往會(huì)產(chǎn)生這樣的感受:當(dāng)基本的軟硬件設(shè)施配置好之后,安全防衛(wèi)水平就到了一個(gè)相對(duì)的瓶頸,再加大投入并不能明顯提高安全水平。實(shí)際上,這種"安全玻璃天花板"在很多行業(yè)和企業(yè)中都存在,伴隨著安全行業(yè)的發(fā)展和管理人員安全意識(shí)的提高,以滲透測試為代表的"安全服務(wù)"正在得到更多的認(rèn)可。

滲透測試的目的?

1. 信息安全等級(jí)保護(hù)的要求

2015年12月28日,銀監(jiān)會(huì)等部門發(fā)布的《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法(征求意見稿)》中明確要求:"網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級(jí)保護(hù)制度的要求,開展信息系統(tǒng)定級(jí)備案和等級(jí)測試。"信息安全等級(jí)保護(hù)是由等級(jí)測評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定,按照管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測評(píng)估的活動(dòng)。值得關(guān)注的是,在信息安全風(fēng)險(xiǎn)評(píng)估中,滲透測試是一種常用且非常重要的手段。

2. 滲透測試助力PCI DSS合規(guī)建設(shè)

在PCI DSS(Payment Card Industry Security Standards Council支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì))第 11.3中有這樣的要求:至少每年或者在基礎(chǔ)架構(gòu)或應(yīng)用程序有任何重大升級(jí)或修改后(例如操作系統(tǒng)升級(jí)、環(huán)境中添加子網(wǎng)絡(luò)或環(huán)境中添加網(wǎng)絡(luò)服務(wù)器)都需要執(zhí)行內(nèi)部和外部基于應(yīng)用層和網(wǎng)絡(luò)層的滲透測試。

3. ISO27001認(rèn)證的基線要求

ISO27001 附錄"A12信息系統(tǒng)開發(fā)、獲取和維護(hù)"的要求,建立了軟件安全開發(fā)周期,并且特別提出應(yīng)在上線前參照例如OWASP標(biāo)準(zhǔn)進(jìn)行額外的滲透測試 。

4. 銀監(jiān)會(huì)多項(xiàng)監(jiān)管指引中要求

依據(jù)銀監(jiān)會(huì)頒發(fā)的多項(xiàng)監(jiān)管指引中明確要求,對(duì)銀行的安全策略、內(nèi)控制度、風(fēng)險(xiǎn)管理、系統(tǒng)安全等方面需要進(jìn)行的滲透測試和管控能力的考察與評(píng)價(jià)。

網(wǎng)站為什么要做滲透測試?除了滿足政策的合規(guī)性要求、提高客戶的操作安全性或滿足業(yè)務(wù)合作伙伴的要求。最終的目標(biāo)應(yīng)該是最大限度地減小業(yè)務(wù)風(fēng)險(xiǎn)。企業(yè)需要盡可能多地進(jìn)行滲透測試,以保持安全風(fēng)險(xiǎn)在可控制的范圍內(nèi)。

網(wǎng)站開發(fā)過程中,會(huì)發(fā)生很多難以控制、難以發(fā)現(xiàn)的隱形安全問題,當(dāng)這些大量的瑕疵暴露于外部網(wǎng)絡(luò)環(huán)境中的時(shí)候,就產(chǎn)生了信息安全威脅。這個(gè)問題,企業(yè)可以通過定期的滲透測試進(jìn)行有效防范,早發(fā)現(xiàn)、早解決。經(jīng)過專業(yè)滲透人員測試加固后的系統(tǒng)會(huì)變得更加穩(wěn)定、安全,測試后的報(bào)告可以幫助管理人員進(jìn)行更好的項(xiàng)目決策,同時(shí)證明增加安全預(yù)算的必要性,并將安全問題傳達(dá)到高級(jí)管理層。

滲透測試是一種全新的安全防護(hù)思路。知道創(chuàng)宇云安全的滲透測試可以幫助企業(yè)的安全防護(hù)從被動(dòng)轉(zhuǎn)換成了主動(dòng),已經(jīng)有越來越多重點(diǎn)行業(yè)的企業(yè)通過獨(dú)立的第三方安全機(jī)構(gòu)來進(jìn)行"滲透測試",以求更好的安全防護(hù)效果。目前,知道創(chuàng)宇云安全滲透測試已經(jīng)服務(wù)了互聯(lián)網(wǎng)金融、電商、教育等近200家企業(yè)。

如何通過滲透測試進(jìn)行安全評(píng)估?

知道創(chuàng)宇云安全的滲透測試是由專業(yè)安全人員完全模擬入侵者所用的常見手段對(duì)測試目標(biāo)發(fā)起模擬入侵的過程。整個(gè)過程的目的在于通過利用各種已知漏洞識(shí)別手段充分挖掘網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層乃至業(yè)務(wù)邏輯層中可能存在且被利用的潛在威脅點(diǎn)。在不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的情況下,發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié),讓管理人員最直觀的看到系統(tǒng)面臨的安全威脅。

滲透測試是如何操作的?

許多企業(yè)管理人員有個(gè)誤區(qū),認(rèn)為滲透測試只是通過自動(dòng)化的工具進(jìn)行檢測、處理生成的報(bào)告,所以費(fèi)用成本是可以很低去控制的,其實(shí)不然。成功的滲透測試報(bào)告中安全工具的占比僅僅是一部分,成功的部分更多的是依靠專業(yè)的人工、雙向的思維及豐富的經(jīng)驗(yàn)。知道創(chuàng)宇云安全提供的滲透測試服務(wù),包括其中所有必需項(xiàng):專業(yè)的安全滲透團(tuán)隊(duì)人員,都是有著十年以上的安全經(jīng)驗(yàn),曾經(jīng)為微軟等大型企業(yè)提供漏洞服務(wù)。

滲透測試與安全檢測的區(qū)別?

滲透測試不同于傳統(tǒng)的安全掃描,在整體風(fēng)險(xiǎn)評(píng)估框架中,脆弱性與安全掃描的關(guān)系可描述為"承上",即如上面所講,是對(duì)掃描結(jié)果的一種驗(yàn)證和補(bǔ)充。另外,滲透測試相對(duì)傳統(tǒng)安全掃描的最大差異在于滲透測試需要大量的人工介入的工作。這些工作主要由專業(yè)安全人員發(fā)起,一方面,他們利用自己的專業(yè)知識(shí),對(duì)掃描結(jié)果進(jìn)行深入的分析和判斷。另一方面則是根據(jù)他們的經(jīng)驗(yàn),對(duì)掃描器無法發(fā)現(xiàn)的、隱藏較深的安全問題進(jìn)行手工的檢查和測試,從而做出更為精確的驗(yàn)證(或模擬入侵)行為。

手動(dòng)測試的必要性?

手動(dòng)測試作為自動(dòng)測試的一種補(bǔ)充,是滲透測試過程中必不可少的一個(gè)重要部分,但因手動(dòng)測試由測試人員發(fā)起,因此,測試人員的個(gè)人技能和經(jīng)驗(yàn)直接影響手動(dòng)測試的結(jié)果。知道創(chuàng)宇云安全滲透測試的核心團(tuán)隊(duì)由國內(nèi)知名安全研究員、知道創(chuàng)宇CSO黑哥和知道創(chuàng)宇技術(shù)副總裁余弦?guī)ш?duì)。

企業(yè)通過滲透測試可以獲得?

1. 技術(shù)安全性的驗(yàn)證

滲透測試作為獨(dú)立的安全技術(shù)服務(wù),其主要目的就在于驗(yàn)證整個(gè)目標(biāo)系統(tǒng)的技術(shù)安全性,通過滲透測試,可在技術(shù)層面定性的分析系統(tǒng)的安全性。

2. 查找安全隱患點(diǎn)

滲透測試是對(duì)傳統(tǒng)安全弱點(diǎn)的串聯(lián)并形成路徑,最終通過路徑式的利用而達(dá)到模擬入侵的效果。所以,在滲透測試的整個(gè)過程中,可有效的驗(yàn)證每個(gè)安全隱患點(diǎn)的存在及其可利用程度。

3. 安全教育

滲透測試的結(jié)果可作為內(nèi)部安全意識(shí)的案例,在對(duì)相關(guān)的接口人員進(jìn)行安全教育時(shí)使用。

4. 安全技能的提升

一份專業(yè)的滲透測試報(bào)告不但可為用戶提供作為案例,更可作為常見安全原理的學(xué)習(xí)參考。

5. 知道創(chuàng)宇云安全特色附加服務(wù):[走進(jìn)企業(yè)]免費(fèi)安全培訓(xùn)

提供免費(fèi)的全員安全意識(shí)培訓(xùn),技術(shù)人員專業(yè)技能培訓(xùn),管理人員安全管理培訓(xùn)服務(wù)。

知道創(chuàng)宇云安全2016破風(fēng)計(jì)劃限時(shí)優(yōu)惠!

目前,知道創(chuàng)宇云安全官網(wǎng)正在進(jìn)行"2016年助力企業(yè)穩(wěn)步成長-破風(fēng)計(jì)劃",針對(duì)不同發(fā)展階段的企業(yè)推出了專屬特惠套餐,產(chǎn)品低至6折起,滲透測試年度最低折扣8折優(yōu)惠。另外,針對(duì)新用戶,贈(zèng)送加速樂CDN。原價(jià)3000元的品牌寶實(shí)名認(rèn)證僅1800元/年,創(chuàng)宇盾限時(shí)優(yōu)惠500元/月加送加速樂CDN,更有海量京東卡多買多送,切實(shí)讓用戶用最低的價(jià)格即可享受定制化的Web問題綜合解決方案。

(正文已結(jié)束)

申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦