本文关于经过网络渗透测试为何企业仍遭攻击?,据
亚洲金融智库2022-05-04日讯:
此外,这也解释了,为什么一些组织能够通过渗透测试,却仍然遭受攻击。 造成问题的根源是,构成企业安全性的两个主要基础组件相互之间没有任何直接关系——入侵防御系统(IDS)和渗透测试。事实上,这两种方法都无法真正改进网络安全性。它们的实施周期通常是这样:一个单位花钱请一个安全公司对网络执行一次全面渗透测试。然后,安全顾问会发布一个报告,全面说明漏洞情况,以及不采取必要措施的严重后果。 迫于时间压力,这个单位会投入资金解决这个问题,匆匆部署一个基于签名的IDS,用于清除发现的漏洞。然后,再执行一次测试,这时新部署的IDS就会闪亮登场,表示它已经处理了所有安全漏洞。这样对方就说已经把安全工作做完了。但是实际上并不是这回事。一个月之后,有人发现有一个关键服务器在不停地泄露数据。运气好的话,IDS会发现这个问题并发出警报(及许多相关报告)。运气不好的话,信用卡中心报告说,您的网上商店有信用欺诈行为,因此将您踢出局。自动化网络渗透测试没用 真正的攻击行为通常比自动化测试的“自我破坏”高明许多。在大多数时候,攻击者并不会利用2009年前就已经修复的互联网信息服务器漏洞——因为现在的自动化测试工具已经覆盖了这些漏洞。 我们处于一种尴尬状态:症状和治疗方法都有,但是病人仍然在生病;Web服务器仍然受到攻击。显然,我们需要一种新方法。企业需要寻找一些防御黑客攻击技术的工具和技术,而不能依赖于自动化渗透测试发现的漏洞或人造环境。 有许多供应商推出了防御最复杂多样的攻击(有时候称为高级持久威胁或APT),如Check Point、FireEye和Juniper。这些工具似乎都宣称比传统安全控件更擅长基于智能和声誉判断流量的好坏。然而,除非这些方法带有可靠的意外管理功能,否则它们只会成为下一个最昂贵但无实质作用的网络设备,历史仍在重复。 渗透测试网络攻击
之前看过一篇关于安全运营的文章,里面说到系统上线前的安全检测是非常重要的,但持续化的安全运营也是必不可少的,很多企业缺的是规范化的安全运营。
回到这个问题:为什么做了安全测试还是遭到了攻击?
网络安全渗透测试的周期长,至少3-5个工作日,测试完后,再进行修复。过了段时间,又新增了一个新的功能,只做了功能性的测试,那安全这块就不能100%的保障。
漏洞是每天都会爆出来的,在进行攻击的时候,很多攻击者用各种新奇的方式,有些是企业忽略掉的,再加上修复漏洞不及时,很容易会让攻击者钻空子。
安全是需要持续的运营和管理的,不是说今天做了安全测试,就没有问题了,就和我们吃饭一个道理。
那如何解决这类型的问题呢?
建立安全规范制度,比如项目在上线前需要做安全测试,安排专人时长的注意安全圈爆出的最新漏洞,如果自己所在企业用了相关的安全组件爆出漏洞的话,要安排人及时的处理并进行修复。
将安全前置到开发环节。很多的漏洞都是由研发引入的,比如编码不规范,研发只注重功能的实现,不注意安全。如果有条件的话,在开发完后,在进行测试的时候,不仅要进行功能的测试,还要进行安全测试,将安全内置SDLC整个流程,内部如果重视了,真的会提高修复漏洞的成本。(安全开发,虽然这个理念提出很多年,但一直没有真正的 得到贯彻,2014年,gartner提出的devsecops的理念,将安全前置开发环节,确保整个环节的自动化和透明化,慢慢的引起了大家的重视,目前业界做的比较两家产品的分别是默安和悬镜灵脉,有兴趣可以搜搜。)
如果系统已经成熟上线了,内部有安全团队,可以邀请外部的安全厂商,进行攻防演练,通过红蓝对抗的形式,帮助企业发现潜在的安全漏洞,规范企业安全漏洞的管理和建设。
通过安全事件引起领导的重视,领导不重视,底下干活的人就给被动,否则出事了,就成了背锅的。
以上观点仅供参考
专题推荐:
经过(6)渗透(12)攻击(459)