6个简单技巧,提高渗透测试的价值,节约上万元费用

最新推荐文章于 2024-06-14 09:32:35 发布
最新推荐文章于 2024-06-14 09:32:35 发布
阅读量124 收藏
点赞数
分类专栏: 网络安全 超级科技 数据安全 文章标签: 安全 web安全 系统安全
原文链接:https://www.bankinfosecurity.com/blogs/how-to-save-money-on-pen-testing-part-1-p-3147
版权

定期渗透测试或渗透测试是通过使用与攻击者相同的工具、技术和程序来模拟网络攻击来了解组织安全状况的重要组成部分。渗透测试的结果可以帮助您识别安全控制中的风险和差距。通过在攻击者发现问题之前识别和修复问题,可以确保应用程序和基础结!构的持续安全性和保护。不幸的是,由于范围界定不明确、目标定义不清和测试不切实际,许多渗透测试没有达到预期的结果。如何从渗透测试中投资的资金中获得最大价值呢?

图片1.png

1:明智地选择渗透测试供应商

选择价格合理、技术娴熟、具有良好业绩记录和高质量、可用可交付成果的渗透测试供应商将有助于确保高质量的结果,并为更深入的测试或进一步的测试留出一些预算。

选择渗透测试供应商时,有三个主要考虑因素:价格、技能/经验和报告质量。

价格

这是最不重要的考虑因素。大多数渗透测试的参与率非常相似,有廉价、高端和铂金版本。

此外,寻找将发现的漏洞的重新测试捆绑到价格中的供应商。如果不包括在内,则可能增加初始测试成本的10%至20%,具体取决于供应商和测试类型。

技能

技能和经验是下一个最重要的标准。寻找拥有CREST或OSCP认证的测试人员团队的公司。此外,请询问执行测试的测试人员的 BIOS,并查找通过 CVE 编号发现的漏洞或参与可归因于渗透测试供应商或渗透测试人员的漏洞赏金计划的提及。

报告

在选择渗透测试供应商时,报告的质量是最重要的标准,只要他们有足够的熟练测试人员。这是您的组织在测试人员继续进行下一次参与时将留下的报告。

渗透测试是昂贵的,在渗透测试报告中提供的"建议"通常是毫无价值和危言耸听的。我知道;我过去写过相当多的渗透测试报告。诸如"实施最佳实践"之类的术语无助于推动提升组织安全态势所需的更改。

查找提供实用的修正建议(包括配置和代码段)的报告。最重要的是查看样本报告,了解危言耸听的发现,例如标记为"高风险"的cookie标志。具有危言耸听结果的报告无助于帮助您推动组织中的补救措施。

此外,寻找通过与您的系统集成来进一步提供报告的供应商,以针对他们发现的问题提出票证,或者提供黑客攻击视频的供应商,这可以显示攻击者如何简单地利用技术安全问题。

2:执行白盒测试以节省时间和金钱

在白盒测试中,您可以为渗透测试人员提供有关目标环境的详细信息,包括域/子域,主机名,IP地址,网络图,不同权限级别的帐户,Swagger / OpenAPI定义,甚至对源代码的访问。通过白盒测试方法显著减少或消除信息收集、侦察和发现阶段,可以显著减少时间和成本。

白盒测试遵循"假设违规"的心态,为渗透测试人员提供访问权限,允许他们执行测试用例,例如权限提升,横向移动和敏感系统或数据的识别。

3:执行黑盒测试以发现实际周长

在黑盒测试中,您可以向渗透测试人员提供有关目标的最少信息,例如,域名、IP 或主机名、IP 子网,或尽可能少地提供公司名称。这种类型的测试适用于模拟针对性攻击,例如高级持续性威胁或APT。

黑盒测试也是发现影子IT的好方法。您知道所有注册域名吗?您的 IP 地址空间如何?您是否知道您的组织正在使用哪些云平台?您是否知道您的组织使用的所有系统都在哪里?

你可能会自信地说"是",但你可能会对黑匣子测试的结果感到惊讶:打开你不知道的域、云使用情况、SaaS和影子IT。请记住,您无法保护您不知道的内容。

为您的钱寻找最大的收益

正确界定渗透测试的范围是从渗透测试投资中提取最大价值的关键。

4:不要将渗透测试程序用作昂贵的漏洞扫描程序

如果您的组织没有最新的补丁,为什么会使用渗透测试仪作为昂贵的人类漏洞扫描程序?为什么要使用渗透测试人员来告诉您您的漏洞管理程序已经可以告诉您的内容?

例如,如果您让一个体面的渗透测试人员访问大多数未使用关键补丁更新的内部网络,那么他们应该在一天内拥有Windows域管理员。

对未使用最新补丁的内部网络进行基础设施渗透测试将生成厚厚的渗透测试报告,几乎可以保证利用。应确保有针对性地进行渗透测试,如以下提示所示。

5:选择用户定义的测试用例以识别公司特定的漏洞

大多数渗透测试组织将在其工作说明中定义标准测试用例,通常是OWASP前10名。虽然这些都是重要的测试用例,但作为您业务中的安全专业人员,您将对测试的系统产生疑虑,疑虑或已知风险。您可以将这些转换为测试用例,并在确定测试范围时将其提供给渗透测试供应商。

在典型的公司特定测试用例中,我将要求在应用程序中包括权限提升。对于财务应用程序,我将请求一系列否定或基于欺诈的测试用例,例如付款中的负金额。

此外,不要忘记包括以前通过违规、威胁情报或渗透测试发现的漏洞派生的测试用例。

6:选择基于目标的测试以针对特定测试用例

基于目标的测试为测试人员设定了一个明确的目标 - 这并不奇怪。目标是针对特定的测试用例或威胁执行。渗透测试人员可以访问CEO的笔记本电脑吗?他们能否访问 SAP 工资单?

基于目标的测试有助于验证或否定有关所选目标的控制功效或风险可能性的内部假设。

原文转自databreachtoday,作者Charles Gillman,超级科技译,合作站点转载请注明出处和原文译者为超级科技!

超级科技
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
12点对于软件测试成本的优化建议!
kami_ochin_akane的博客
11-26 570
系前小米测试总监分享
【转】物业管理与移动互联网科技|微信公众平台,物业app,物业O2O
weixin_34034670的博客
09-06 1万+
【导语】当下,物业管理行业正在接受新科技浪潮的冲击和洗礼,业界企业纷纷探索物业服务的新发展模。云服务、微社区、微信公众平台、app等,这些本来陌生的词汇在物业管理行业变得耳熟能详。在借助科技手段拓展多种经营,提升竞争力、增加创富能力、开展信息化建设和管理的同时,部分物业服务企业的发展模和理念又提升了一大步,现代科技推动物业管理行业发展正在成为现实。 第一部分:移动互联网改变传统物业管...
【期末复习】现代管理科学基础
不忘初心,护天下安全!
01-01 9723
第一章 企业与企业管理 1.企业的属性 企业是那些根据市场反映的社会需要来组织和安排某种商品或提供某种服务的生产和交换的基本组织单位。它们实行自主经营、自负盈亏、独立核算。 企业的属性: 企业是经济性组织 企业是社会性单位 企业是自主经营系统 2.企业的法律形 按照财产的组织形和所承担的法律责任不同,企业分为三种 个体企业:业主个人出资和负完全责任,方灵活但难以从事大规模工商...
最全NISP二级习题汇总
wanqianshao的博客
11-06 1万+
习题汇总 Exam A 问题 1 信息安全等级保护分级要求,第三级适用正确的是: A. 适用于一般的信息和信息系统,其受到破坏后,会对公民. 法人和其他组织的权益有一定影响,但不危 害国家安全. 社会秩序. 经济建设和公共利益 B. 适用于一定程度上涉及国家安全. 社会秩序. 经济建设和公共利益的一般信息和信息系统,其受到破坏 后,会对国家安全. 社会秩序. 经济建设和公共利益造成一定损害 C. 适用于涉及国家安全. 社会秩序. 经济建设和公共利益的信息和信息系统,其受到破坏后,会对国家安 全、社会秩序、经
《增长黑客》节选与笔记
吴甜甜的技术博客
10-04 3万+
《增长黑客》节选与笔记 自序 1.1 创业家的黑暗前传 1.2 增长黑客的胜利 1.3 什么是“增长黑客” 1.4 增长黑客的职责和特质 1.5 一切用数据说话 1.6 增长黑客担任的团队角色 1.7 如何招聘增长黑客 1.8 如何成为增长黑客 1.9 增长黑客的常用工具箱 第2章 创造正确的产品 2.1 Instagram重生记 2.2 PMF,探寻产品与市场的完美契合 2.3 拒绝...
PDM&PLM
Frank_Good的专栏
07-19 6172
第一节 PDM的概念... 1 第二节 PDM发展的背景... 3 第三节 PDM软件的基本功能... 10 第四节 PDM与ERP. 20 第五节 PDM与企业信息集成... 25 第六节 PDM的发展现状和趋势... 30 第七节 并行工程与企业级产品数据管理... 35 第八节 企业应用PDM的步骤... 38 第九节 PDM软件的应用现状... 40 第十节 企业需求分析...
[转]信息安全相关理论题(四)
Herry_Lee的专栏
02-18 3万+
26、____表示邮件服务器返回代码为临时性失败(xx代表任意数)。 A、 2xx B、 3xx C、 4xx D、 5xx 您的答案: 标准答案: C 27、买家称购买商品异常后的正确操作是立即咨询官方客服。 A、 正确 B、 错误 您的答案: 标准答案: A 28、网上陌生人给你发送补丁文件正确的操作是不下载文件。 A、 错误 B、 正确 您的答...
sp业务整体介绍
cunzhangxp的专栏
04-11 1万+
sp业务整体介绍 一、Sp业务是什么?Sp业务是通过移动通信网和定位技术获取移动终端(手机)的位置信息(经纬度坐标数据),开展一系列应用服务的新型移动数据业务,它将成为我们将来舒适生活中密不可分的一部分。随着网络技术的演进,位置服务的应用也越来越丰富,为用户提供更有价值的多媒体应用。在2G环境主要是基于文本的位置服务信息;2.5G可以提供基于图形的位置信息;在3G环境下可以提供基于
网站项目管理规范指南
热门推荐
xyrrwcom的专栏
03-25 6万+
1. 概述  关于本指南的目的,大纲描述。1.1 什么是网站项目管理规范指南  《网站项目管理规范指南》读做“网站-项目管理-规范-指南”,顾名思义就是针对网站项目管理,提供规范管理的建议和指导。之所以称作“指南”,是因为我们的规范不是标准,标准是由国家制定的。我们只是将我们认为最好的管理办法推荐给您,供您参考。我们希望您本指南能够带给您切实的工作上的帮助!1.2 编写目的 我们编写网站项目管理规
Web渗透测试攻略(上)
02-26
这份文档主要介绍渗透测试所需要的知识。系统启动后,可以用ifconfig命令获取当前的ip地址:这个例子中,ip地址就是10.0.2.15.在整个训练中,我们用来模拟受害机器的主机名叫vulneralble.你可以用ip地址来代替主机名,...
渗透测试完整流程(史上最全).xmind
09-27
从信息收集,到弱点检测,到代码审计,一步一步的清晰步骤
渗透测试指南之七个阶段
11-11
渗透测试指南是根据PETS翻译整理的一份资料,供学习渗透测试的朋友更系统的学习了解渗透测试七个阶段工作。七个阶段涵盖内容分别为前期交互阶段、情报收集阶段、威胁建模阶段、漏洞分析阶段、渗透攻击阶段、后渗透...
web渗透测试技巧(上)
10-12
最近的非常全面的web渗透测试技巧,网络攻防教程
等保测评和安全运维
weixin_64392888的博客
06-11 650
通过将等保测评的标准和流程融入日常的安全运维工作中,企业可以更有效地识别和应对网络安全威胁,构建起一个全面、动态的网络安全防护体系。为了应对这些挑战,企业不仅要实施有效的安全运维措施,还需要通过等保测评确保其信息系统符合国家的安全标准。等保测评提供了一套标准化的安全要求,安全运维团队可以根据这些要求,实施相应的安全措施,如加强访问控制、数据加密、网络安全防护等。通过等保测评,企业可以识别信息系统的安全风险,并根据测评结果制定或调整安全策略,确保安全措施与企业的实际需求相匹配。
振弦采集仪在隧道工程中的安全监测与控制研究
duxi222333的博客
06-13 453
通过安装振弦传感器,可以实时监测地下水位的变化情况,并采取相应的措施来保证隧道的安全。通过安装振弦传感器,可以实时监测地层的变形情况,并采取相应的措施来保证隧道的安全。同时,振弦采集仪也可以用于隧道施工期间的地层补偿控制,以减少地层的变形对施工的影响。总结,隧道工程的安全监测与控制是非常重要的工作,而振弦采集仪作为一种高精度和灵敏度的仪器,可以有效地监测和控制隧道工程中的地层变形、地下水位变化和地震影响等情况。振弦采集仪具有高精度和灵敏度的特点,能够对隧道工程中发生的微小变形进行准确的监测和控制。
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1409
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
如何确保数据跨域交换安全、合规、可追溯性?
最新发布
文件数据安全交换
06-14 424
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
展会邀请 | 龙智即将亮相2024上海国际嵌入展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入开发解决方案
weixin_49715102的博客
06-09 962
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入开发行业打造了专属的嵌入开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站服务支持。等全球专业工具,覆盖嵌入软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入开发。并且嵌入系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
渗透测试 一个网站如何去做渗透测试
05-30
渗透测试是一种测试方法,通过模拟攻击者的行为来评估系统的安全性。以下是一些渗透测试的步骤: 1.信息收集:这个阶段可以通过搜索引擎、社交网络、WHOIS查询等方来获取目标网站的相关信息,如IP地址、域名注册...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值