企业：怎样的渗透测试频率是合适的?

Kevin Beaver是Principle Logic LLC的创始人和首席顾问，他有16年的IT和信息安全的工作经验。在进入信息安全服务行业前，他的工作曾经涉及卫生保健、电子商务、金融和教育行业的信息技术和安全。他擅长的领域包括网络和无线网络安全、信息安全评估和事故回应。 Kevin是Technology Association of Georgia的Information Security Society创始人和主席，而且是几家大学和企业的IT顾问团成员。他在Southern Polytechnic State University获得了计算机工程技术的硕士学位，在Georgia Tech获得技术管理的博士学位。Kevin还获得了CISSP、MCSE、Master CNE和IT Project+等证书。

网站建设哪家好，找创新互联公司！专注于网页设计、网站建设、微信开发、小程序定制开发、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了政和免费建站欢迎大家使用！

我们企业按照合规要求来进行渗透测试，但我听说，更加频繁地测试会更好。企业确定渗透测试的频率的最佳方法是什么?是否有些企业或行业应该或者不应该更频繁地进行渗透测试?

Kevin Beaver ：这是一个很好的问题，而且，这个问题经常被大家认为是理所当然。我们面临的挑战是，对于这个问题，并没有一个最佳答案。这类似于“我应该多久锻炼一次?”、“我应该多久去洗一次牙?”以及“我应该多久更换汽车的机油?”等问题，当涉及渗透测试时，我们面对着太多变量，例如网络复杂程度、系统和应用变更的速度、预算等。问100个人，你可能会得到100个不同的答案。当然，如果还有第三方介入(例如牙医、机械师和安全顾问)，他们可能会倾向于建议符合他们利益的做法，所以要小心。

我的意见是：你想要通过渗透测试达成什么目的?这可能是满足合规性、满足客户或业务合作伙伴的要求。最终的目标应该是最大限度地减小业务风险。鉴于此，你需要尽可能多地进行渗透测试，以保持安全风险在可管理的水平。

在考虑到所有的事情以及试图保持合理性时，我发现每季度进行渗透测试比较好。有些企业每年或每半年进行一次测试，有些高风险机构(例如金融服务公司和国防承包商)则是使用自动化工具实时进行测试。这取决于很多变量的共同作用。

最重要的是，你需要确保你正在做正确的测试，在最纯粹意义上的“渗透测试”并不够，更高级别的审查清单也不够，此外，利用普通的漏洞扫描无疑会促使数据泄露事故的发生。我建议把重点放在执行“安全评估”上，查看所有正确的事情，而不是根据别人要求你所做的事情来限制你的测试。

最后，所有系统和应用都可能遭受攻击，比渗透测试频率更重要的是，你的企业需要确保随着时间的推移有效而持续地执行安全测试。

当前文章：企业：怎样的渗透测试频率是合适的?
文章链接：http://www.csdahua.cn/qtweb/news15/482015.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网