通過網路滲透測試確保應用安全

一個就職于某企業的同行最近向我講述了他們對應用的測試過程以及該測試有多麼地全面，他們還對應用系統進行網路滲透測試來確保其全方位的安全。 我認為這聽起來就像是浪費時間和資源。 你同意我的看法嗎？ 當確保應用系統安全時實施網路滲透測試有好處嗎？ 如果有的話，會是什麼好處呢？ 在一個易遭受攻擊的網路中擁有強健的、經過充分測試的應用沒有太大意義，因為網路自身在配置或是流程中存在著未知的漏洞。 儘管當前駭客們正在直接攻擊Web應用，但他們也會毫不猶豫地充分利用可選路徑闖入組織並偷竊資訊資產。 談及這兩類滲透測試時你的說法是正確的，應用系統滲透測試更為重要。 正如我剛剛所說，這是因為應用系統是當前攻擊的關注點，並且網路應該已經受到網路邊界防禦如防火牆、入侵監測系統和防病毒閘道的保護。 正是有了像這樣的邊界防禦措施，才迫使駭客們將攻擊目標轉移到應用系統。 然而，測試網路安全設備是否如期望的那樣運行並實際的保護著網路十分重要。 在系統集成或是部署時，多個設備、服務和功能的相互交互會產生意料之外的弱點，這往往只能通過把系統當作一個整體進行滲透測試找出來。 關於主動地分析系統潛在漏洞的過程，可以從糟糕的或是不正確的系統組態開始，然後是已知和未知的硬體或軟體缺陷，以及流程和技術對策中的操作上弱點。 網路滲透測試能夠探究控制力度怎樣，如密碼選擇，伺服器、防火牆和IDS的配置，系統間的信任關係以及遠端存取點對嘗試溢出的抵抗力，同樣還有網路防禦措施成功地偵測攻擊並對其做出回應的能力。 遵守PCI DSS 11.3（PCI DSS，支付卡行業資料安全標準）章節的要求，需要至少每年進行一次外部的和內部的滲透測試、包括網路層和應用層，同樣還包括在進行任何重大的基礎設施或應用升級或修改之後。 行業標準如ISO 27001中也將它定義為組織應該定期進行的重要安全測試之一。 此外，網路滲透測試的結果也為要求增加安全人員和技術方面的投資提供了證據。 現在，這已成為非常值得做的事情。 【編輯推薦】六步措施保障Web應用安全WEB應用安全離你有多遠? WEB應用安全技術白皮書解析Web應用安全成為安全防禦的關鍵一環如何為特定場景選擇應用安全工具【責任編輯：佟媛微 TEL：（010）68476606】 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票 ) 原文：通過網路滲透測試確保應用安全 返回網路安全首頁