随着网络攻击数量的增加,要求进行渗透测试的需求也在上升。渗透测试是用来确定一家公司的防御强度。人们担心他们公司的网络和电脑系统被黑,数据被窃取。此外,许多监管标准,如PCI和HITRUST,要求这些测试至少每年进行一次。
随着攻击者越来越老练,对这些测试的需求只会增加。重要的是,这些测试可以捕获所有可能的漏洞。
穿透测试的好处和差距
渗透测试包括对计算机网络、系统或web应用程序的实时测试,以发现潜在的漏洞。测试人员实际上试图利用漏洞,并将结果的详细信息记录到他们的客户端。它们记录了漏洞的严重程度,并建议了解决这些漏洞所需采取的步骤。
执行渗透测试的好处是,组织将了解他们的弱点,以及他们需要在哪些地方投入更强的安全控制。例如,pen测试可以找到不安全的网络设置或配置、打开的端口、不安全的路由器和交换机。
然而,问题是,根据执行测试的人,结果可能会有很大的不同。没有全面的国家执行标准来执行渗透测试。这给安全漏洞留下了很大的遗漏空间,这可能导致许多组织不知道他们的安全控制有多强。
例如,一家网络安全公司可以测试一个网络并找出10个漏洞,而另一家公司只能找到两个。这是一个值得关注的问题,应该采取措施来解决这个问题。
解决方案:国家笔测执行标准
在这个问题上缩小差距的一个方法是建立一个国家渗透测试执行标准,网络安全测试公司必须遵守这个标准。
该标准需要比现有的NIST SP 800-115更详细,后者是信息安全测试和评估的技术指南,只提供了进行渗透测试的一般指导。虽然该指南提供了很好的信息,但是它在提供关于在测试期间应该完成何种类型的活动的详细信息方面做得还不够,并且没有提供关于攻击者的行为以及如何在测试期间执行这些行为的最新信息。
这个新标准需要包含一个必须测试的环境中推荐的工具和标准目标的列表。它将包括必须在内部和外部网络段上测试的应用程序和基于网络的需求。它还应该详细说明应该针对系统进行测试的各种类型的攻击。
联邦调查局和国土安全部掌握了有关攻击策略的一些最新信息,可以帮助确保这些信息包含在测试标准中。
在标准的基础上完成了渗透测试之后,公司就可以进行他们自己的、更有创造性的测试,这是非常重要的,因为许多公司使用他们自己定制的工具和过程。
然而,要使标准方法成功,渗透测试标准必须定期更新。攻击者在不断地改变战术,当他们被发现的时候,这些战术需要被合并。
网络安全公司遵循这一国家渗透执行标准作为其流程的一部分,这将帮助企业适当地评估其网络风险,以便他们能够集中精力将资源投资于最需要的领域。