企业渗透测试自检的四项基本原则
作者:星期六, 十月 4, 20140

1610350889

如果把企业的信息安全管理比作牙齿护理,安全服务公司比作牙医,那么企业自己定期进行渗透测试自查就好比刷牙和使用牙线,如今几乎所有安全顾问公司都会建议企业重视渗透测试检查,这样可以有效避免很多浅显而严重的失误和漏洞。

根据调查机构Ponemon的统计,美国企业数据泄漏的成本高达199美元/条,而且还在不断增长,其中Target数据泄漏事件导致其圣诞假日购物交易额损失3-4%,而根据安全牛网之前的报道,Target的损失完全可以通过加强自身安全管理避免。

近日在纽约举行的Interop大会上,安全公司Maven Security呼吁企业加强渗透测试实践,对于当今企业面临的两大最为常见的安全威胁——跨站脚本和SQL注入,Maven建议企业采用web应用安全漏洞研究测试及学习环境工具集(Web Security Dojo),来提高渗透测试水平。Maven的安全专家进一步指出,企业提升自我渗透测试能力需要遵循以下四项基本原则:

一、安全开发。开发一款新应用时,应当将安全作为第一位的考虑因素,而不是作为附加环节。

二、边开发边测试。等开发完了再去进行安全测试就晚了。

三、安全必须一把手带队。可以是CISO或者CTO、CIO,必须是一个能把安全优先级提到最高的一把手。(参考阅读:CISO、CIO一个都不能少

四、先易后难。在找安全服务公司之前,企业应当完成力所能及的,相对简单的渗透测试,消灭让人鄙视的低级漏洞。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章