1。渗透测试概述
渗透测试是什么?
渗透测试测试你现有的网络安全措施,试图找到漏洞,攻击者可以利用。笔测试给你了解攻击者可能会试图破坏你的网络,所以你可以关闭任何差距,保持领先一步。
笔测试可以在家里完成,但通常它们是由第三方使用各种工具和方法,试图穿透你的网络。攻击者可能会利用这些测试类似于现实世界的攻击方法。目标是发现漏洞、错误配置和其他安全漏洞之前,攻击者可以利用他们,让你的组织面临风险。
如果一个攻击(或从笔渗透测试)成功,攻击者可以:
- 获得个人健康信息(φ)
- 获得个人身份信息(PII)
- 偷的凭证
- 窃取数据和记录
- 启动恶意软件
- 做横向运动在你的网络(可能数周或数月之前,你甚至知道他们那里)
- 信用卡和其他金融信息的访问
- 影响业务操作
- 劫持你的系统和操作并要求赎金
- 摧毁你的数据
笔测试帮助你发现缺点在你的攻击表面,这样你就可以使计划可以利用之前修复它们。
笔测试是一个互补的漏洞评估程序的组件。作为脆弱性评估的一部分,您的组织应该做常规漏洞扫描,给你洞察所有的资产和跨企业的弱点。笔测试帮你验证如果攻击者可以利用这些弱点和评估成功的补救工作。
建立一个综合脆弱性评估项目,你应该在连续的基础上进行脆弱性评估扫描然后做笔定期测试。一些合规指南要求年度笔测试,但是你可能建立一个强大的网络安全项目如果你进行这些测试更频繁的例子,至少每季度。
笔测试的重要性
这里有一些原因您的组织应该采取渗透测试作为全面的网络安全计划的一部分:
- 笔测试帮助你发现如果你有漏洞攻击者可能利用进入你的网络,数据和资产。
- 这些测试可以给你洞察如何满足遵从性标准和有安全漏洞。
- 笔测试也可以帮助你确定你的安全控制工作。
- 你可以测试应用程序组织使用是否有编程错误,可以给攻击者访问你的网络。