正确执行的渗透测试是秘密的测试,其中由咨询人员或者内部人员扮演恶意攻击者,攻击系统的安全性。因为最终目的是渗透,这种测试不会发出警告,完全保密(当然,上层管理人员同意进行测试并且理解秘密的要求)。理想的是,应该没有来自企业的支持……或者,最大限度的是指出哪些是渗透测试团队应该避免的。在本指南中将全面介绍渗透测试和道德黑客,以及渗透测试的作用和执行方式,此外,希望本指南也能为想要成为渗透测试人员,也就是道德黑客的技术人员提供帮助。
安全诊断主要有三种类型:渗透测试、审计和评估(被不同地描述为评估和风险评估)。单独使用任何一种测试都不可以很好的进行。在测量系统安全的时候,必须要在合适的时间执行合适的测试。渗透测试的名声最响,因为每个人都听说过,而且“知道”渗透测试是专家用于确保系统安全的。本befen将介绍渗透测试的基本概念和道德黑客技术。
渗透测试可以提供安全防御的有价值的信息。此外有些企业需要有说服力的论据说明不充分的安全可能导致重大损失。执行情况良好的渗透测试就可以证明。本部分将介绍渗透测试对企业的作用,并涉及到企业建模的作用。
渗透测试的目标不仅是要评估电脑系统或者网络的安全性,还要决定成功攻击的可行性和商业影响。这样的测试模仿企图利用你的企业系统中的潜在的漏洞的攻击者。那么如果选择合适的渗透测试人员呢?应该采用什么技术和工具呢?渗透测试应该包括哪些方面呢?本部分将对这些问题做出解释。
在互联网刚刚兴起的时候,我们经常可以听到渗透测试,但是最近几年这种狂热已经减轻了。这种信息风险评估方式——21世纪中它的名字是道德黑客——正在复兴。人们开始看到以黑客的方式思考来防御黑客是全面信息风险管理项目的不可或缺的一部分。本部分将介绍如何成为道德黑客或者渗透测试人员,以及他们执行渗透测试的注意问题。
专家答疑
技巧
由供应商补丁周期之间漫长的时间间隔为企业移动设备带来了风险。在获得补丁前,企业是否可以在移动设备上打上虚拟补丁,以减轻这种风险?或者还有其他办法吗?
一些厂商和服务提供商声称他们提供符合PCI DSS的基于云的服务,抛开厂商的自我宣传,这是真的吗?
为确保企业的合规工作,违反程序,安全政策等在需要时可以用来诉讼,当安全团队被要求与法律部门密切合作时,CISO应该和律师谈什么?
本周
本月
