安全测试入门：初创企业实用指南

哈客cc lv.2

发布时间：2022-03-05 15:33:45 432

什么是安全测试？

安全测试是一个宽泛的术语，指的是检查系统、网络或软件是否存在黑客和其他威胁参与者可以利用的漏洞的过程。它可以有多种形式，因此在本文中，我们将探讨它的两个主要组成部分：

脆弱性评估：自动安全测试，使用工具扫描系统或应用程序的安全问题。这些工具被称为“漏洞扫描器”，它们执行自动测试，以发现应用程序或基础设施中的缺陷。缺陷的类型可能是应用程序级的弱点、云配置问题，或者只是在软件上出现缺少安全补丁（这是网络安全漏洞最常见的原因之一）。
渗透测试：主要是由网络安全专家进行的手动评估（尽管通常有漏洞扫描工具支持），以及确定威胁参与者可以利用漏洞的程度。

渗透测试是一个很好的方法来发现在某个时间点可能存在的大部分弱点，但是你应该考虑在笔测试者回家后你有多快被提醒到新的漏洞（提示：不够快，你需要一个漏洞扫描器）。

漏洞扫描器还使组织能够在进行更深入、通常更昂贵的手动测试之前，了解更多有关其安全状态的信息。在许多情况下，这是一个不需要动脑筋的问题，因为渗透测试人员通常会通过运行相同的自动化工具来启动测试。你不会想让他们觉得太容易吧，对吧！；）

为什么要进行安全测试？

Veracode的软件安全状态报告显示，83%的研究样本（包括全球2300家公司使用的85000个软件应用程序）在初始安全测试期间发现了至少一个安全漏洞。如果没有测试，这些缺陷将被发布到生产中，使软件容易受到网络攻击。

如果出于这个原因，您决定开始安全测试只是为了在黑客之前找出你的弱点那太好了。你拥有决定自己需求的灵活性；跳到下一节。否则，执行安全测试的其他常见原因包括：

‍第三方或客户请求.如果合作伙伴或客户特别要求您执行安全测试，以确保其客户数据免受网络攻击者的攻击–；你可能有更严格的要求。然而，仍有解释的余地。客户通常会要求进行“渗透测试”；但他们很少具体说明这意味着什么。
‍合规认证和行业法规.许多行业法规或合规认证也要求组织定期进行安全测试。常见的例子包括ISO 27001、PCI DSS和SOC2。这些标准以不同的细节级别规定了所需的测试，但即使是最具体的标准也没有具体规定测试的方式或内容，因为这取决于手头的场景。出于这个原因，人们通常认为，被测试的公司最适合确定在他们的场景中什么级别的安全测试是有意义的。因此，您可能会发现下面的指南在确定测试内容和方法时仍然很有用。

你的客户或审计人员总是有最后的决定权，但你最了解你的业务，所以通过提出一个合理的测试策略，通常双方都能达成一致。

在单独的安全测试之前考虑策略

风险评估：你是多少目标？

每个公司都是独一无二的，因此，你的风险对你来说是独一无二的。然而，很难知道什么是正确的测试级别。您可以使用以下内容大致了解我们在行业中看到的情况：

1.如果不存储特别敏感的数据

例如，您可以提供网站正常运行时间监控工具，而不存储特别敏感的数据。在你长大到足以成为特定的目标之前，你可能只需要担心那些寻找简单选择的人不分青红皂白地进行黑客攻击。如果是这样，你很可能只需要自动漏洞扫描。

关注任何暴露在互联网上（或可能暴露在互联网上）的系统，如任何远程访问（VPN、远程管理登录）、防火墙、网站或应用程序、API，以及可能会意外发现自己在线的系统（云平台内的任何东西都很容易意外地被放到互联网上）。

2.如果存储客户数据

‍也许你是一个营销数据分析平台，所以你可能会面临较少的来自内部人士和犯罪团伙的威胁，但你肯定需要担心客户访问彼此的数据或一般的数据泄露。或者，例如，你有一个应用程序，但是任何人都可以在线登记一个账号，你将从正常用户和8211的角度考虑一个“认证”渗透测试；但从一个后端访问受限的员工的角度来看，可能不是这样。你还需要确保员工的笔记本电脑都安装了最新的安全更新补丁。

3.如果你提供金融服务

如果你是一家转移资金的智能初创公司，你需要担心恶意客户甚至恶意员工–；以及针对你的网络犯罪团伙。

如果是这样的话，您将需要考虑在所有这些场景之上的连续漏洞评估和定期的完整手动渗透测试。

4.如果你没有任何东西接触到互联网

也许你根本没有任何东西接触到互联网，或者没有开发面向客户的应用程序–；所以你的主要攻击面是员工笔记本电脑和云服务。在这种情况下，你自己的笔记本电脑的自动漏洞扫描是最有意义的，如果你需要额外的保证，你可以考虑一种更积极的渗透测试类型“被称为红色团队”。

每个企业都是独一无二的，没有一个单一的网络安全战略适用于每一家初创企业。这就是为什么你需要从了解自己的风险所在开始。

你需要保护什么？

理想情况下，在规划安全测试本身之前，你应该考虑你拥有的资产，无论是技术性的还是信息性的，都被称为“资产管理”。

一个非常简单的例子可能是：“我们有70台员工笔记本电脑，主要使用云服务，在谷歌云平台上存储和备份客户数据，以及一个允许管理员和客户访问的应用程序。

我们最重要的数据是代表客户存储的数据，以及人力资源系统中的员工数据。“。仔细思考这一点有助于你开始为确定测试范围奠定基础。例如：

我们的人力资源系统是一个云服务，所以我们只需要求他们进行安全测试（因此不需要自己测试）。
我们在谷歌云中有哪些IP地址，注册了哪些域（有一些工具可以帮助实现这一点）。
我们的工程师不下载生产数据库，但可以访问我们的云系统，所以他们的笔记本电脑和cloud&amp；电子邮件账户也是我们攻击面的一部分。

执行资产管理将帮助您跟踪属于您组织的系统，并确定需要测试哪些IP地址和域名。

创业公司应该多久进行一次安全测试？

这取决于测试的类型！显然，自动化测试的好处是，它们可以按照您的意愿定期运行。而渗透测试的频繁运行成本更高。

国家网络安全中心（NCSC）建议每月至少进行一次例行漏洞扫描，这有助于加强您的IT基础设施。这种做法有助于公司密切关注不断出现的新威胁；每年报告的新漏洞超过10000个。除了定期进行漏洞扫描外，建议每次进行系统更改时都运行扫描。

漏洞扫描程序的类型

您可以从几种类型的漏洞扫描程序中进行选择—；基于网络、基于代理、web应用程序和基础架构。选择取决于你打算保护哪些资产。

网络扫描仪的一些经典例子是Nessus和Qualys。两者都是市场领导者，提供了强大的安全和漏洞覆盖率。一个现代的替代方案，你可以考虑，如果你想要一个工具，很容易开始是入侵者。

该在线漏洞扫描器专门为非安全专家开发，可供使用，同时提供高质量的检查，以及对新出现的威胁的自动扫描。

入侵者使用一种独特的算法来优先处理让你的系统暴露在外的问题，从而特别容易找到风险最高的问题。

脆弱性评估的好处是什么？

漏洞评估的目的是自动发现尽可能多的安全漏洞，以便在威胁行为体发现漏洞之前减轻这些漏洞。它还有助于提高渗透测试的效率，相比之下，渗透测试是一个手动过程。事实上，正如NCSC所解释的，“通过定期漏洞扫描来解决‘低挂果实’，渗透测试可以更有效地专注于更适合人类的复杂安全问题。”

什么时候进行渗透测试？

Pen测试人员模仿现实生活中的网络攻击者，但与威胁参与者不同，他们遵循预定义的范围，不会滥用组织的资产和数据。与漏洞扫描相比，它们更有可能发现复杂或高影响的业务层弱点，例如操纵产品定价、使用客户帐户访问另一客户的数据，或从一个初始弱点转向完全的系统控制。缺点是相比之下，它的成本很高，那么什么时候运行它才是正确的时机呢？

考虑上述风险评估的关键时间线，例如，在产品开发完成后，但在开始获取真实客户数据之前。或者在你持有一些不敏感的客户数据之后，但在你开始持有工资或健康相关信息之前。

一旦你启动并运行，渗透测试应该在重大改变后进行，比如改变你的认证系统，发布一个主要的新功能；或者在经历了6-12个月的小变化后（理论上，每一个变化都可能意外地引入一个弱点）。

同样，这取决于你的风险水平；如果你打算每三个月（或更多！）就把钱转移一次，但如果你处于风险谱的低端，每12个月一次是一个普遍接受的时间表。

渗透测试应在实施重大系统变更前进行，或每隔6-12个月进行一次。

存在几种类型的渗透测试。渗透测试可以查找技术中的安全缺陷，例如外部和内部网络以及web应用程序中的安全缺陷。然而，它也可以发现组织人力资源中的漏洞，比如社会工程。

你选择的笔试公司取决于你想测试的资产类型，但也应该考虑其他因素，如认证、价格和经验。

结论

安全测试是一个关键的网络安全过程，旨在检测系统、软件、网络和应用程序中的漏洞。其最常见的形式是漏洞评估和渗透测试，但其目标始终是在恶意行为者能够利用安全漏洞之前解决这些漏洞。

请记住，威胁参与者也会执行例行安全测试，以查找他们可能滥用的任何漏洞。一个安全漏洞就足以让他们发动大规模网络攻击。虽然这可能很可怕，但通过定期进行网络安全测试，您的公司可以得到更好的保护。

实施这一策略可能是一个挑战，因为没有一个一刀切的安全测试解决方案。小企业在投资无形产品时也可能会犹豫不决，尤其是那些他们可能因为各种技术术语而无法完全理解的产品。如今，许多工具都提供免费试用，这为小企业在投入更大的投资之前找到正确的解决方案提供了绝佳的机会。

如果你需要一个现代化的、易于使用的安全测试解决方案，入侵者将免费试用他们的漏洞评估平台30天。今天就去他们的网站看看吧！

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。