Kevin Beaver是Principle Logic LLC的创始人和首席顾问,他有16年的IT和信息安全的工作经验。在进入信息安全服务行业前,他的工作曾经涉及卫生保健、电子商务、金融和教育行业的信息技术和安全。他擅长的领域包括网络和无线网络安全、信息安全评估和事故回应。 Kevin是Technology Association of Georgia的Information Security Society创始人和主席,而且是几家大学和企业的IT顾问团成员。他在Southern Polytechnic State University获得了计算机工程技术的硕士学位,在Georgia Tech获得技术管理的博士学位。Kevin还获得了CISSP、MCSE、Master CNE和IT Project+等证书。

我们企业按照合规要求来进行渗透测试,但我听说,更加频繁地测试会更好。企业确定渗透测试的频率的最佳方法是什么?是否有些企业或行业应该或者不应该更频繁地进行渗透测试?

Kevin Beaver :这是一个很好的问题,而且,这个问题经常被大家认为是理所当然。我们面临的挑战是,对于这个问题,并没有一个最佳答案。这类似于“我应该多久锻炼一次?”、“我应该多久去洗一次牙?”以及“我应该多久更换汽车的机油?”等问题,当涉及渗透测试时,我们面对着太多变量,例如网络复杂程度、系统和应用变更的速度、预算等。问100个人,你可能会得到100个不同的答案。当然,如果还有第三方介入(例如牙医、机械师和安全顾问),他们可能会倾向于建议符合他们利益的做法,所以要小心。

我的意见是:你想要通过渗透测试达成什么目的?这可能是满足合规性、满足客户或业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。鉴于此,你需要尽可能多地进行渗透测试,以保持安全风险在可管理的水平。

在考虑到所有的事情以及试图保持合理性时,我发现每季度进行渗透测试比较好。有些企业每年或每半年进行一次测试,有些高风险机构(例如金融服务公司和国防承包商)则是使用自动化工具实时进行测试。这取决于很多变量的共同作用。

最重要的是,你需要确保你正在做正确的测试,在最纯粹意义上的“渗透测试”并不够,更高级别的审查清单也不够,此外,利用普通的漏洞扫描无疑会促使数据泄露事故的发生。我建议把重点放在执行“安全评估”上,查看所有正确的事情,而不是根据别人要求你所做的事情来限制你的测试。

最后,所有系统和应用都可能遭受攻击,比渗透测试频率更重要的是,你的企业需要确保随着时间的推移有效而持续地执行安全测试。

作者:Kevin Beaver

来源:51CTO

企业:怎样的渗透测试频率是合适的?相关推荐

  1. 阿里云服务器实例规格选择,个人和企业分别选择哪种规格合适

    根据业务场景和使用场景,阿里云ECS云服务器实例可以分为多种实例规格族.根据CPU.内存等配置,一种实例规格族又分为多种实例规格.云服务器实例规格定义了实例的基本属性:CPU和内存(包括CPU型号.主 ...

  2. 只用一个WiFi,渗透进企业全部内网

    近年来,黑客通过企业无线网络发起的企业内网渗透事件频发,在某漏洞平台检索时发现仅2015年便发生了数十起知名企业因WiFi相关安全问题导致内网被入侵的事件,对企业造成了十分恶劣的影响. 到了2016年 ...

  3. 想让AI在企业落地?微软最新Azure AI不容错过!

    Microsoft Connect(); 2018 如期举行,大会上发布的众多顶尖技术,瞬间引爆了全球! AI的高速发展,正在掀起新一波的创新浪潮.对于很多企业来说,AI创造的巨大价值,是不容错过的风 ...

  4. 企业上云规划与云原生环境设计

    作者:张羽辰(同昭)    阿里云技术服务平台团队 企业在开始使用云之前,必须要在云上建立一个安全.合规.灵活的 Landing Zone,其中随着云原生的流行,在传统的Landing Zone设计中 ...

  5. 2021爱分析·云计算趋势报告——支撑数字化转型,企业云平台建设进入新阶段

    报告编委 报告指导人 李喆 爱分析 合伙人&首席分析师 报告执笔人 郭佳伶 爱分析 分析师 李书娴 爱分析 分析师 外部专家(按姓氏拼音排序) 金霄 新钛云服 合伙人&产品运营中心负责 ...

  6. 企业打破私域“0”增长现状必读篇—《国外私域的超前形态》

    私域在现阶段的发展中,呈现出单一.碎片化的形态.如何把私域布局做到系统化,实现私域流量的持续变现?其中有几个关键增长因子,例如:内容.模型.数据等.​增长黑盒作为一家致力于通过数据研究,帮助企业找到高 ...

  7. 内容全面的企业网站策划书

    一. 前言 互联网经历了高潮和低谷,当失去耐心的人开始疾呼互联网是泡沫,大家不要陷进去的时候,中国互联网仍然我行我素,走着自己该走的路.专家们对于互联网企业将有90%关门的预言如今也不攻自破.这些风风 ...

  8. 百丽季燕利:从补货场景,看企业协同在线|数字思考者50人

    图片来源:视觉中国 ▎对于传统大型组织而言,从战略到落地,关系到经营管理和运营执行的千万次决策,需要跨多个部门.多个不同岗位去执行落地,这其中协同的难度会随着组织的规模.业务类型.结构.层级.参与的人 ...

  9. 基于PMO的企业项目管理组织结构

        由于市场竞争日趋激烈化.国际化,客户的类型日益复杂化.需求不断国际化,技术发展水平日新月异,企业所处的商业环境瞬息万变.现代项目管理日益显示出其极强的生命力和作为一种新的企业管理模式的巨大优势 ...

最新文章

  1. 从C语言的角度重构数据结构系列(二)-如何衡量一个算法的优劣?
  2. 第二天2017/03/29: 字符串操作
  3. webdynpro GOS BDS 文档/附件 上传下载处理
  4. sql数据类型转换oracle,ORACLE SQL数据类型转换
  5. RPC调用框架比较分析
  6. java 和javafx_Java,JavaFX的流利设计风格文本字段和密码字段
  7. 包管理工具conda极简教程
  8. 一维数组转化为二维数组(java)
  9. mac自带的python怎么升级_mac上怎么更新python
  10. php内容模型概念,方便新建各种类型表
  11. http请求中乱码------编码的转换
  12. java聊天室设计_JAVA网络聊天室的设计与实现
  13. matlab 给图像双三次,图像灰度的双三次插值的MATLAB实现
  14. 自己组装电脑配置清单2022 自己组装电脑需要哪些配件
  15. Dell PowerEdge RAID控制器存在一个潜在问题
  16. Java利用mpxj解析mpp格式文件
  17. test English
  18. 再见2022,你好2023:八年程序媛老兵的践行、思考与展望
  19. 16进制颜色代码大全
  20. 这五个数据科学家和机器学习工程师油管博主,你必须关注

热门文章

  1. 计算机视觉算法——图像分类网络总结
  2. 【赠书】阿里巴巴官方出品,工业级知识图谱最新书籍领取!
  3. 【AI产品】一键时光穿梭表情互动,这款FaceApp你知否?
  4. 【AI-1000问】softmax loss和交叉熵有什么关系?
  5. 【AI白身境】学AI必备的python基础​​​​​​​
  6. VC++下Window剪贴板的操作
  7. 华为的研发给我们什么启示?
  8. 【美文欣赏】人人都有难念的经
  9. 泛亚凭借一粒薏米-农业大健康·田亚:对话农民丰收节交易会
  10. JQuery利用css()修改样式后 hover失效的解决办法