定期滲透測試或滲透測試是通過使用與攻擊者相同的工具、技術和程式來模擬網路攻擊來了解組織安全狀況的重要組成部分。滲透測試的結果可以幫助您識別安全控制中的風險和差距。通過在攻擊者發現問題之前識別和修復問題，可以確保應用程式和基礎結構的持續安全性和保護。不幸的是，由於範圍界定不明確、目標定義不清和測試不切實際，許多滲透測試沒有達到預期的結果。如何從滲透測試中投資的資金中獲得最大價值呢？

1：明智地選擇滲透測試供應商。

選擇價格合理、技術嫻熟、具有良好業績記錄和高質量、可用可交付成果的滲透測試供應商將有助於確保高質量的結果，併為更深入的測試或進一步的測試留出一些預算。

選擇滲透測試供應商時，有三個主要考慮因素：價格、技能

價格

這是最不重要的考慮因素。大多數滲透測試的參與率非常相似，有廉價、高階和鉑金版本。

此外，尋找將發現的漏洞的重新測試捆綁到價格中的供應商。如果不包括在內，則可能增加初始測試成本的10%至20%，具體取決於供應商和測試型別。

技能

技能和經驗是下一個最重要的標準。尋找擁有CREST或OSCP認證的測試人員團隊的公司。此外，請詢問執行測試的測試人員的BIOS，並查詢通過CVE編號發現的漏洞或參與可歸因於滲透測試供應商或滲透測試人員的漏洞賞金計劃的提及。

報告

在選擇滲透測試供應商時，報告的質量是最重要的標準，只要他們有足夠的熟練測試人員。這是您的組織在測試人員繼續進行下一次參與時將留下的報告。

滲透測試是昂貴的，在滲透測試報告中提供的"建議"通常是毫無價值和危言聳聽的。我知道;我過去寫過相當多的滲透測試報告。諸如"實施最佳實踐"之類的術語無助於推動提升組織安全態勢所需的更改。

查詢提供實用的修正建議（包括配置和程式碼段）的報告。最重要的是檢視樣本報告，瞭解危言聳聽的發現，例如標記為"高風險"的cookie標誌。具有危言聳聽結果的報告無助於幫助您推動組織中的補救措施。

此外，尋找通過與您的系統整合來進一步提供報告的供應商，以針對他們發現的問題提出票證，或者提供黑客攻擊視訊的供應商，這可以顯示攻擊者如何簡單地利用技術安全問題。

2：執行白盒測試以節省時間和金錢。

在白盒測試中，您可以為滲透測試人員提供有關目標環境的詳細資訊，包括域

白盒測試遵循"假設違規"的心態，為滲透測試人員提供訪問許可權，允許他們執行測試用例，例如許可權提升，橫向移動和敏感系統或資料的識別。

3：執行黑盒測試以發現實際周長。

在黑盒測試中，您可以向滲透測試人員提供有關目標的最少資訊，例如，域名、IP或主機名、IP子網，或儘可能少地提供公司名稱。這種型別的測試適用於模擬針對性攻擊，例如高階持續性威脅或APT。

黑盒測試也是發現影子IT的好方法。您知道所有註冊域名嗎？您的IP地址空間如何？您是否知道您的組織正在使用哪些雲平臺？您是否知道您的組織使用的所有系統都在哪裡？

你可能會自信地說"是"，但你可能會對黑匣子測試的結果感到驚訝：開啟你不知道的域、雲使用情況、SaaS和影子IT。請記住，您無法保護您不知道的內容。

為您的錢尋找最大的收益

正確界定滲透測試的範圍是從滲透測試投資中提取最大價值的關鍵。

4：不要將滲透測試程式用作昂貴的漏洞掃描程式。

如果您的組織沒有最新的補丁，為什麼會使用滲透測試儀作為昂貴的人類漏洞掃描程式？為什麼要使用滲透測試人員來告訴您您的漏洞管理程式已經可以告訴您的內容？

例如，如果您讓一個體面的滲透測試人員訪問大多數未使用關鍵補丁更新的內部網路，那麼他們應該在一天內擁有Windows域管理員。

對未使用最新補丁的內部網路進行基礎設施滲透測試將生成厚厚的滲透測試報告，幾乎可以保證利用。應確保有針對性地進行滲透測試，如以下提示所示。

5：選擇使用者定義的測試用例以識別公司特定的漏洞。

大多數滲透測試組織將在其工作說明中定義標準測試用例，通常是OWASP前10名。雖然這些都是重要的測試用例，但作為您業務中的安全專業人員，您將對測試的系統產生疑慮，疑慮或已知風險。您可以將這些轉換為測試用例，並在確定測試範圍時將其提供給滲透測試供應商。

在典型的公司特定測試用例中，我將要求在應用程式中包括許可權提升。對於財務應用程式，我將請求一系列否定或基於欺詐的測試用例，例如付款中的負金額。

此外，不要忘記包括以前通過違規、威脅情報或滲透測試發現的漏洞派生的測試用例。

6：選擇基於目標的測試以針對特定測試用例。

基於目標的測試為測試人員設定了一個明確的目標-這並不奇怪。目標是針對特定的測試用例或威脅執行。滲透測試人員可以訪問CEO的膝上型電腦嗎？他們能否訪問SAP工資單？

基於目標的測試有助於驗證或否定有關所選目標的控制功效或風險可能性的內部假設。

Hi，我是超級科技

超級科技是資訊保安專家，能無上限防禦DDos攻擊和CC攻擊，阿里雲戰略合作伙伴！