在一个易遭受攻击的网络中拥有强健的、经过充分测试的应用没有太大意义,因为网络自身在配置或是流程中存在着未知的漏洞。尽管当前黑客们正在直接攻击Web应用,但他们也会毫不犹豫地充分利用可选路径闯入组织并偷窃信息资产。
谈及这两类渗透测试时你的说法是正确的,应用系统渗透测试更为重要。正如我刚刚所说,这是因为应用系统是当前攻击的关注点,并且网络应该已经受到网络边界防御如防火墙、入侵监测系统和防病毒网关的保护。正是有了像这样的边界防御措施,才迫使黑客们将攻击目标转移到应用系统。
然而,测试网络安全设备是否如期望的那样运行并实际的保护着网络十分重要。在系统集成或是部署时,多个设备、服务和功能的相互交互会产生意料之外的弱点,这往往只能通过把系统当作一个整体进行渗透测试找出来。
关于主动地分析系统潜在漏洞的过程,可以从糟糕的或是不正确的系统配置开始,然后是已知和未知的硬件或软件缺陷,以及流程和技术对策中的操作上弱点。网络渗透测试能够探究控制力度怎样,如密码选择,服务器、防火墙和IDS的配置,系统间的信任关系以及远程访问点对尝试溢出的抵抗力,同样还有网络防御措施成功地侦测攻击并对其做出响应的能力。
遵守PCI DSS 11.3(PCI DSS,支付卡行业数据安全标准)章节的要求,需要至少每年进行一次外部的和内部的渗透测试、包括网络层和应用层,同样还包括在进行任何重大的基础设施或应用升级或修改之后。行业标准如ISO 27001中也将它定义为组织应该定期进行的重要安全测试之一。此外,网络渗透测试的结果也为要求增加安全人员和技术方面的投资提供了证据。现在,这已成为非常值得做的事情。