渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制,而且它没有一个标准的定义。虽然大家对渗透测试都有所了解,但对它的认知并不透彻,还存在很大的误区,本文为大家汇总一下关于渗透测试的认知误区,你犯了几个?
1、渗透测试就是漏洞扫描
漏洞扫描与渗透测试一样,都是为了识别潜在的威胁途径,因此很多人将两者混淆在一起。实际上,漏洞扫描与管理主要包括识别和分类已知漏洞,生成需要注意的优先漏洞列表,并推荐修复它们的方法。而安全威胁非常多样,并不仅限于安全漏洞的利用。渗透测试侧重于模拟攻击者的行为,在服务完成后,测试人员需要生成一份详细报告,说明测试过程中是如何破坏安全性以达到先前商定的目标,并提供相应的威胁缓解方案。
2、渗透测试=高成本
企业开展渗透测试工作需要一定的人力、技术和资金资源投入。虽然这些资源可能不容易获取,但它们在预防威胁方面具有的价值却值得组织投入心血。因为与网络攻击造成的经济损失相比,投入到渗透测试的成本可以说是微不足道的。随着数字化转型的深入,各种数据资产对企业而言是无价的,一旦数据被非法泄露,组织的商誉会受到严重损害。如果攻击者的目标是为了勒索钱财,他们索要的赎金数额通常也会远高于渗透测试的成本预算。
3、渗透测试由外部人员执行
这是非常错误的!外部人员执行渗透测试会比内部人员更有效,其原因是外部人员对企业的数字化系统并不熟悉,因此会更加客观。虽然客观性是渗透测试有效性的关键,但了解业务系统并不就意味着不客观。
因此,渗透测试可由企业内部员工、专业服务商或其他第三方机构完成。
4、渗透测试仅限于发现技术缺陷
渗透测试的目的是发现组织安全防护体系中的不足。在测试中,测试方可以应用包括社会工程方式在内的多种方法。因此,在渗透测试之前,通常会确定是否需要专门评估某项技术的安全性。在实际应用中,测试工程师可能会被授权做更多事情,例如扫描社交媒体以获取可利用的信息,或尝试通过电子邮件从用户那里获取敏感数据,甚至尝试欺骗获取用户的账号权限等。
5、渗透测试只适用于企业用户
这是非常广泛的认知误区。渗透测试的目的是保护数据,而并非只有企业才拥有敏感数据,现代社会的每个人都会有大量的隐私数据,比如银行信息、信用卡详细信息和医疗记录等。攻击者同样会利用个人信息化应用的漏洞来访问并滥用数据。因此,我们每个人都应该提高数据安全和隐私保护的防范意识,在有条件的情况下,通过渗透测试来检验各种数据的安全性和可靠性。