關(guān)鍵點1:與滲透測試團(tuán)隊建立緊密關(guān)系
滲透測試員被賦予了對公司系統(tǒng)和基礎(chǔ)設(shè)施的特別權(quán)限�,他們會對公司特定弱點有著獨特的理解和洞見���。與測試團(tuán)隊人員�����,尤其是外部顧問們���,發(fā)展一種信任關(guān)系,是最小化此敏感信息和知識不恰當(dāng)處理風(fēng)險的極佳方式�����。
關(guān)鍵點2:掌握滲透測試過程細(xì)節(jié)
對滲透測試細(xì)節(jié)一無所知���,是監(jiān)督團(tuán)隊失職或缺乏技術(shù)背景的癥狀���。花點時間去了解滲透測試涉及的工具、技術(shù)�、過程和發(fā)現(xiàn),你會發(fā)現(xiàn)自己將測試結(jié)果轉(zhuǎn)化為有意義行動的能力和洞見����,都大幅提升了。
關(guān)鍵點3:為滲透測試員劃定明確的邊界條件
滲透測試的本質(zhì)����,涉及在目標(biāo)系統(tǒng)中查找非預(yù)期功能或條件的創(chuàng)新性探索����。除非測試員理解明確的邊界(比如不能在任何生產(chǎn)系統(tǒng)中執(zhí)行拒絕服務(wù)攻擊),否則就存在他們撈過界的可能性�����。安全經(jīng)理有責(zé)任確保這一情況不出現(xiàn)�����。
關(guān)鍵點4:用滲透測試呈現(xiàn)漏洞
獲得拒絕承認(rèn)良好安全重要性的業(yè)務(wù)部門或經(jīng)理關(guān)注的一個強(qiáng)力技術(shù)���,就是暴露出與他們的系統(tǒng)或應(yīng)用直接關(guān)聯(lián)的漏洞���。面對漏洞的明顯證據(jù)����,很多團(tuán)隊都會馬上重視起安全�����,更平滑地參與到需要他們協(xié)作的工作中�����。
關(guān)鍵點5:千萬別用滲透測試來證明沒有漏洞
或許���,滲透測試活動負(fù)責(zé)人會犯的最嚴(yán)重的錯誤�����,就是將對滲透測試所發(fā)現(xiàn)漏洞的修復(fù)�����,錯誤理解為清除掉了所有的漏洞���。就像所有的測試一樣���,滲透測試在呈現(xiàn)失誤上非常棒,但卻是證明不存在失誤的糟糕方法�����。千萬別把對滲透測試找出的某些漏洞的修復(fù)����,混淆成了安全。這是要盡力避免的一種低級錯誤�����。
