1、入侵模拟攻击(Breach and Attack Simulations) (p745)
入侵和攻击模拟(BAS)平台寻求在渗透测试的某些方面实现自动化。这些系统旨在向系统和网络注入威胁指示器,以触发其他安全控制。例如,BAS平台可能往服务器上放置可疑文件,在网络上发送标记报文( beaconing packets),或探测系统中的已知漏洞。BAS平台实际上并没有发动攻击,但它正在对这些安全控制进行自动化测试,以识别可能需要进行控制更新或增强的缺陷。
2、合规性检查(Compliance Checks)(p745)
合规性检查是受监管公司安全测试和评估计划的重要组成部分。这些检查验证合规计划中列出的所有控制措施是否正常运行并有效满足监管要求。定期执行这些检查可保持组织合规计划的健康并避免不可预见的监管问题。