【TechTarget中国原创】问:在企业网络安全策略中,渗透测试的重要性有多大?
答:渗透测试可以提供安全防御的有价值的信息,但是成本很高。为了渗透测试的可信性,通常必须要有独立的外部公司进行。如果使用内部人员和测试揭开漏洞,你可能会听到这样的批评,测试人员一定在攻击中利用了他们的内部信息和架构的指示来扩大安全预算。另一方面,如果测试表明状况良好,你可能会受到测试不够彻底的批评。如果有的话,这就一定是第二十二条军规。
由于渗透测试的高成本,我通常推荐成熟的安全项目才能考虑使用。如果你正在构建安全架构,缺少几个主要的部分,那么首先就把预算花在这里吧。否则,渗透测试就只能揭示已经知道的漏洞。另一方面,如果采用了渗透测试来评估全面执行的架构,你可能会获得潜在漏洞有价值的信息。