企业级渗透测试服务考虑
发布时间:2022-06-01 08:30:23 所属栏目:安全 来源:互联网
导读:随着企业组织的业务规模不断扩大,信息化运用快速发展,业务与数据安全已经被推上战争的高地,成为企业保护自身安全的重中之重,成为企业信息安全官在战略计划汇报中不得不谨慎对待的课题。 现阶段,全球范围内的网络空间对抗加剧,网络军事化特征明显,信息
|
随着企业组织的业务规模不断扩大,信息化运用快速发展,业务与数据安全已经被推上战争的高地,成为企业保护自身安全的重中之重,成为企业信息安全官在战略计划汇报中不得不谨慎对待的课题。 现阶段,全球范围内的网络空间对抗加剧,网络军事化特征明显,信息安全正面临严峻的挑战,国家也愈发重视。今年网络安全的红蓝对抗为人们安全观念和意识的转变带来了契机,虽然企业安全防御技术争论不休,但唯一不争的共识是,企业能够建立最好的安全防御体系的方式就是通过对抗演练来进行检验。 企业市场也不断涌现红蓝对抗的建设需求,攻防演练得到企业的重视,攻击视角能帮助防守团队找到防守视角的盲点,企业级渗透测试服务的采购也成为企业安全团队思考的问题。 渗透测试服务标准 企业级渗透测试服务,是工程化的项目服务,具有完整的管理流程和标准化服务。尽管渗透测试的方法各不相同,但依然有一些标准化的方法体系规范,而对于企业内部安全部门在提供安全测试服务时,依然有可取之处。 PTES(Penetration Testing Execution Standard)渗透测试执行标准是安全业界在渗透测试技术领域中开发的一个新标准,也是普遍应用比较广的事实标准,目标是在对渗透测试进行重新定义,新标准的核心理念是通过建立起进行渗透测试所要求的基本准则基线,来定义一次真正的渗透测试过程,已得到安全行业的广泛认同。 前期沟通时使用话术模板来指导语音会话,以确定参与的范围和规则。 对目标系统(MSSP、云提供商、ISP、共享托管环境、边界路由器、DNS服务器等)进行获取信息或进行操作时,请确保您获得了任何第三方的测试书面许可。 在与目标系统方人员交流制定您的规则时讨论同时使用黑盒与白盒测试,并指出白盒测试通常提供更详细的结果、更安全,并提供更好的商业价值。 与目标系统人员讨论他们在其环境中具有的特殊敏感的信息(例如PII),以及如何在不实际下载的情况下测试对其数据的访问。考虑尝试使用植入通用的样本记录来演示您的访问权限,而不是实际的敏感数据。 每天与目标系统人员进行电话汇报,交流意见和经验教训。如果每天太频繁,可以考虑每周打2-3次电话。(每周留出1-2小时参加各种CTF比赛,保持你的技能熟练程度。这些比赛包括各大CTF网站提供的免费在线比赛或线下赛,以及其他类对抗比赛。) (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐