51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2633|回复: 0
打印 上一主题 下一主题

如何降低渗透测试成本,看这篇就够了!

[复制链接]
  • TA的每日心情
    无聊
    9 小时前
  • 签到天数: 1052 天

    连续签到: 2 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2022-11-9 10:48:12 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    从国内企业安全市场需求的角度来看,渗透测试服务也很受欢迎,国内大型安全制造商只有渗透测试单一服务收入超过2亿元。为什么企业会购买渗透测试服务?原因来自渗透测试服务本身的特点:攻击者视角、过程可复制、漏洞定位准确、危害效果好。让我们来看看渗透测试模式的发展和变化:一个人的战斗,背靠背的双重防御战,攻防小组团队合作战,一万人海啸战。首先,一万人海啸战争实际上是目前流行的公开测试模式。
      公测可分为三类:
      1.企业自建SRC(安全响应中心)组织众测项目;
      2.投入第三方互联网漏洞平台的众测项目;
      3.企业组织多家安全厂商小规模公测项目。
      主要区别在于:
      企业自建SRC需要通过营销手段增加白帽活动,直接获得第一手白帽漏洞,但需要专人操作SRC平台;第三方漏洞平台有一定的白帽子资源,漏洞通过平台转发,需要支付平台服务费;许多安全制造商参与小规模测试项目的测试人员有限,测试人员不遵守规则的风险可控,但安全制造商的投入产出相对较低,测试动力不足。除了万人海啸战模式外,其他测试模式都是安全服务制造商采用的测试模式。根据安全制造商渗透测试人员的储备和安全服务项目的数量,一些项目指定测试人员完成测试工作,称为:一人的战斗。采用两名测试人员背靠背交叉测试模式,称为背靠背双人防御战。专业安全服务公司将成立安全攻击和防御团队进行专业测试,称为攻击和防御团队合作战。
      说了这么多,企业应该如何打好这场仗,如何以更低的成本最大化收获漏洞?首先给出结论:成本控制三步走。
      第一步:内部安全团队或第三方安全公司进行渗透测试如SINE安全,鹰盾安全,绿盟等等,与开发团队深入沟通,从代码层和承载环境层建立强有力的保护方案;
      第二步:利用企业SRC或第三方公开测试平台开展短期公开测试活动,纠正第一步保护措施的不足;
      第三步:利用企业SRC正常收集白帽子漏洞,不断纠正发现的问题。
      三步成本控制成功的关键:
      1.渗透试验的第一步必须高质量,尽量覆盖所有类型的漏洞,发现典型问题,快速有效地发现,建立点和表面保护;
      2.第一步是发现问题后的保护方案,从全球角度构建保护措施,如:全球过滤器、安全部件调用等;
      3.第二步是检验第一步保护措施的有效性。因此,本次保护措施的修订是提高安全保护能力的关键活动;
      4.安全专家是一个重要的角色,理解和给出漏洞的最佳保护措施尤为重要,直接影响到收集漏洞的成本。
      5.企业安全防护措施的积累也是影响成本的关键因素,如:安全设计、安全编码、安全组件等。

    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-27 19:26 , Processed in 0.070221 second(s), 22 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表