從國內企業安全市場需求的角度來看����,滲透測試服務也很受歡迎�����,國內大型安全制造商只有滲透測試單一服務收入超過2億元����。為什么企業會購買滲透測試服務�����?原因來自滲透測試服務本身的特點:攻擊者視角�����、過程可復制�����、漏洞定位準確、危害效果好�����。讓我們來看看滲透測試模式的發展和變化:一個人的戰斗��,背靠背的雙重防御戰��,攻防小組團隊合作戰,一萬人海嘯戰�����。首先�����,一萬人海嘯戰爭實際上是目前流行的公開測試模式。
公測可分為三類:
1.企業自建SRC(安全響應中心)組織眾測項目;
2.投入第三方互聯網漏洞平臺的眾測項目����;
3.企業組織多家安全廠商小規模公測項目����。
主要區別在于:
企業自建SRC需要通過營銷手段增加白帽活動�����,直接獲得第一手白帽漏洞����,但需要專人操作SRC平臺�����;第三方漏洞平臺有一定的白帽子資源��,漏洞通過平臺轉發,需要支付平臺服務費����;許多安全制造商參與小規模測試項目的測試人員有限��,測試人員不遵守規則的風險可控,但安全制造商的投入產出相對較低,測試動力不足。除了萬人海嘯戰模式外����,其他測試模式都是安全服務制造商采用的測試模式。根據安全制造商滲透測試人員的儲備和安全服務項目的數量����,一些項目*測試人員完成測試工作����,稱為:一人的戰斗�����。采用兩名測試人員背靠背交叉測試模式��,稱為背靠背雙人防御戰。專業安全服務公司將成立安全攻擊和防御團隊進行專業測試,稱為攻擊和防御團隊合作戰��。
說了這么多����,企業應該如何打好這場仗,如何以更低的成本較大化收獲漏洞?首先給出結論:成本控制三步走����。
第一步:內部安全團隊或第三方安全公司進行滲透測試如SINE安全����,鷹盾安全,綠盟等等,與開發團隊深入溝通,從代碼層和承載環境層建立強有力的保護方案;
第二步:利用企業SRC或第三方公開測試平臺開展短期公開測試活動,糾正第一步保護措施的不足�����;
第三步:利用企業SRC正常收集白帽子漏洞��,不斷糾正發現的問題����。
三步成本控制成功的關鍵:
1.滲透試驗的第一步必須高質量����,盡量覆蓋所有類型的漏洞����,發現典型問題,快速有效地發現,建立點和表面保護��;
2.第一步是發現問題后的保護方案����,從全球角度構建保護措施,如:全球過濾器����、安全部件調用等�����;
3.第二步是檢驗第一步保護措施的有效性。因此����,本次保護措施的修訂是提高安全保護能力的關鍵活動��;
4.安全專家是一個重要的角色,理解和給出漏洞的較佳保護措施尤為重要�����,直接影響到收集漏洞的成本��。
5.企業安全防護措施的積累也是影響成本的關鍵因素�����,如:安全設計�����、安全編碼��、安全組件等。
http://www.664151.com
