4000-110-253
滲透測試需求是否合理(lǐ). 2021-02-02
近些(xiē)年來(lái),“滲透測試”是對攻防類服務需求響應較多(duō)的一個(gè)概念。大(dà)量的企業有(yǒu)着滲透測試的需求,今天我們說說大(dà)衆對“滲透測試”需求是否真的合理(lǐ)!
答(dá)案是否定的,其原因可(kě)能在于對“滲透測試”這一概念産生(shēng)了理(lǐ)解偏差,導緻很(hěn)大(dà)一部分項目都在用模糊的目标和(hé)模糊的需求進行(xíng)以商務關系為(wèi)基礎的合作(zuò)。
我們應當明(míng)确滲透測試的概念。這裏引用CREST标準中對于“滲透測試”概念的描述:滲透測試是一種道(dào)德的攻擊模拟,旨在通(tōng)過實際利用特定場(chǎng)景中的漏洞來(lái)驗證控制(zhì)措施的有(yǒu)效性。即滲透測試的最終目标從來(lái)就不是發現應用中的漏洞,而是發現控制(zhì)措施或防禦手段中的“漏洞”。基于這個(gè)認識,我們平時(shí)進行(xíng)的手工發現漏洞的工作(zuò),其實都稱不上(shàng)是标準的“滲透測試”。
滲透測試實施人(rén)員必須得(de)是專家(jiā)型人(rén)員。擁有(yǒu)足夠經驗的專家(jiā)人(rén)員在未知的情況下采取“摸黑(hēi)”去猜測實際情況的防禦手段。
/
