为什么你需要了解渗透测试和合规审计？

我们生活在一个数据像水一样流动的时代，成为我们日常冒险的新生活来源。

因此，你可以想象所有这些都意味着什么，以及数据所承受的重量，尤其是当涉及到如何处理这一相当新且可能非常宝贵的资源的决策时。

当然，我们从很小的时候就清楚地意识到，我们的水需要纯净、过滤，并可能受到保护，所以这就提出了一个问题，让我们想：

所有这些对于我们的数据、其处理过程以及最终的安全性究竟有何影响？

众所周知，我们的个人信息即使不超过实际货币，也同样有价值。想象你的社会保险号码、医疗账单或薪水通过遍布全球的大量看似随机的服务器流动，可能会让人感到不安。
它提出了我们对其他任何有价值的东西都会提出的同样问题：

它要去哪里？
谁能看见？
他们为什么拿着它？
...
安全吗？

与其他任何事情一样，理解的最佳方式是获取示例，更重要的是从有经验的人那里获取示例，并每天处理有关数据的此类问题。

让我们来评估一下对当地医院的一次小规模访问。

你去登记。

你刚才做了什么？

你泄露了你的社会安全号码、地址、生物信息和财务状况。

你是否停下来想，医院是否真的需要所有这些信息，或者他们只是无缘无故地囤积这些信息？

当然，你没有！

目前，你更担心自己的健康，而不是一些医院记录。这种情况发生的频率比我们想象的要高。在各种类型的机构中，当我们进入时，我们的数据并不是我们首先想到的。

但这一切与渗透测试有什么关系；合规审计？我们很快就会到达那里。

首先，要知道人们现在正在夜以继日地分析每个人都面临的日常情况。他们确实会询问我们的数据，以及在我们无法回答的情况下，在此类程序中如何处理这些数据。

这些人来自各个领域，从安全工程师、渗透测试人员、审计员、人力资源人员等。

可以理解的是，对IT行业不感兴趣的人并不熟悉其中一些标题，但尽管如此，与其他所有内容一样，仍有一个领域可以满足特定的需求。

这里需要的是“安全”

但现在，让我们回到医院待一会儿。

你离开后，发生了什么？

所有这些信息都被存储在某个地方，很可能是数字的。

对于文件，我们有储物柜，对于金钱，我们有保险箱，对于小瓶，我们有24/7受保护的实验室。

我们刚刚提供的数据有什么用？

我们看到前台人员在他们的电脑里打了出来。这意味着，现在所有这些信息要么放在本地服务器上，要么像我们前面提到的那样被发送到全球各地的随机节点。但这仍然不能回答一个主要问题，即它是如何得到保护的？就不能有人闯进来拿走吗？

在大多数情况下，这是不可能的，而且有点困难。但是，大多数例子并不都是这样，正如任何安全工程师所证明的那样，我们收到的此类违规行为比我们愿意承认的还要多。这是怎么发生的？

现在我们来谈谈技术问题，一个人是如何窃取所有这些信息的，以及他们为什么能够窃取这些信息。
首先，他们可以窃取它，因为持有它的系统，就像其他物理系统一样，没有对其安全性进行适当检查！这个系统存在漏洞。

这就是渗透测试出现的地方。

其次，他们之所以能够窃取数据，是因为数据本来就不应该存在。

这就是合规审计的由来。

让我们谈谈第一个问题，缺乏安全措施和/或检查，以及如何预防。

渗透测试，顾名思义，是一种试图破坏对象安全并窃取有价值数据的行为，就像攻击者所做的那样。这也意味着使用他们的方法和战术。但是有什么区别呢？渗透测试由专业和授权的组织或个人进行，以帮助企业识别其系统中的潜在风险。

这些专业组织或个人（渗透测试人员）会尝试闯入，如前所述，使用攻击者会使用的所有技巧和技巧，然后他们会向企业（他们为之工作的人）报告他们所有的薄弱环节在哪里，更重要的是，他们应该如何以及为什么修复这些薄弱环节。

基本上，如果渗透测试人员窃取了有价值的信息，这意味着攻击者也可以这样做。通过覆盖渗透测试人员之前发现的所有漏洞，您可以确保当实际攻击者试图入侵时，攻击将变得非常困难，或者几乎不可能，因为大多数漏洞已经修复。

我们将再次以医院为例。

我们把个人信息（数据）留在了医院，他们可能把它存储了起来。几个小时后，恶意的参与者就知道了那个位置，并试图闯入。两件事中的一件会发生，要么成功（渗透测试可能没有进行）。或者，在他们的尝试中，他们发现他们知道如何闯入的大多数方式已经被修补，现在变得更加困难或不可能，让他们一无所有。

现在关于第一个问题，假设攻击者确实闯入，缺乏安全措施，而且可能事先没有进行渗透测试。他们偷了什么，或者说他们能偷什么？

他们窃取了以下信息：

• 姓名
• 出生日期
• 血型
• 住址
• 信用卡号码

这里的主要问题是，为什么医院一开始会存储信用卡号码，而它肯定不需要信用卡来持续使用？

这就是合规审计的必要性所在。合规审计是对一个组织（在我们的案例中是医院）遵守该特定行业各自监管机构制定的法律和指南的完整和彻底的评估。

法规遵从性主要是一组安全检查表，例如，公司应根据其业务类型遵循这些检查表。

例如，如果这是一家私立医院，他们就必须遵循某种医疗合规性。如果它是一家经纪公司，他们将不得不遵循财务类型的合规性等等。

在这种情况下，医疗合规性将说明可能不需要存储信用卡号，将其与所有其他类型的信息集中在一起，并且每种类型的数据都有自己的保护清单。

因此，如果事先进行并遵循合规性，信用卡号可能不会被存储在第一位，因为它们不是必不可少的。如果发生这种情况，即使在攻击者闯入之后，他们也无法窃取此类信息，因为它根本不存在。这样可以降低违规的风险。

基本上，只应存储绝对需要的信息。同样，如果员工离职，企业也无法永久保存员工的记录。每个企业都应该雇佣一名合规审计员，以了解其业务的规则和条例，并以合法的方式执行。

另一方面，进行如此彻底的调查并不完全取决于审计人员，而是取决于公司及其总体安全意识，以适当地建立一切，使此类测试和检查表永远不会成为实质性问题。

攻击也可能来自公司内部。主要来自被激怒、过度工作或不满意的员工。这些是最危险的攻击类型，因为员工已经可以访问所有内容。

基本上，他们的心理健康是极其重要的！花时间和精力照顾你的同事会让他们不那么急于背叛你或你的资产。

作为一个结论，我们经历了各种场景，上面所有这些模糊的标题每天都会经历，希望您现在更多地理解渗透测试的重要性；与以前相比，您的数据安全性更高！