DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

免备案高防cdn_平台防ddos攻击_限时优惠

06-28 DDOS防御

免备案高防cdn_平台防ddos攻击_限时优惠

通常,pentest被认为属于技术性的、极客化的活动领域,应该回答这样一个问题:"我的公司会被攻破吗?"除非你在过去10年里一直生活在岩石下,你会知道答案是一个简单的"是"。这只是一个攻击者花费的时间和能力的问题。

市场上有很多pentest可用,现在是预订一个的好时机,要么在年底确定并修复你的安全漏洞,要么在明年开始在正确的基础上。为了确保您预订了正确类型的pentest,您需要清楚一个好的pentest可以为您的组织做些什么。

几乎所有的证券公司在他们的投资组合中都有一个"pentest"服务;那些通常不雇佣第三方为他们做测试的人。注意,我收到了很多奇怪的请求,包括疼痛测试。这需要一套完全不同的技能…无论如何,我离题了。在过去的几年里,我看到了很多pentest报告,嵌入了数千行脚本和日志,突出了带有红旗的巨大表中的大量漏洞,其中一些被描述为对公司可能至关重要。

但现在有一个有趣的问题:报告真的呈现了相关的现实吗?这样的报告公司能做些什么?调查结果是否可行?乍一看,由于报告的大部分内容都侧重于按优先级排列的关键元素,您可能会说"是的,是的。"没错,将优先级列在pentest报告中是一种很好的做法。但再深入一点,你会发现,不幸的是,大多数时候,优先级反映了脆弱性的严重性。这就是真正的痛点。仅仅依靠严重程度并不能转化为与公司的真正相关性。

在确定优先权时,ddos攻击与防御技术的内容目的,还需要考虑更多的因素。下面是一个简单的例子来说明原因:测试服务器上与网络其余部分断开连接的严重漏洞真的很严重吗?尽管漏洞很关键,但优先级不应定义为高,因为对业务的影响将很低或为零。另一个例子:对于客户端来说,是否值得阅读与指示数千台计算机应升级到最新操作系统版本的关键漏洞相关的最高优先级修正?同样,尽管脆弱性非常重要,但业务环境应被视为最好的补救措施和相关工作,因为正如所有人所知,升级整个公司的it绝非易事。

基于风险的pentesting方法完全不同。它的不同方法可以用几句话来概括:为了呈现具体的、可操作的和现实的信息,必须收集对客户的良好理解。当我们说"客户"时,我们指的是一个联系人,他不关注组织安全的技术要素,而是对公司、业务、活动及其风险状况和偏好有更广泛了解的人。这也意味着,此类pentest约定最重要的部分是准备阶段,在此阶段,与客户进行多次讨论,以了解公司的业务、公司的风险状况、关注点和资产。总而言之,上下文。

有了这些信息,下列无法防御ddos,五旬节的约定可以以不同的方式进行。对于一个极客客户来说,这不再是一个极客活动。它要求pentester有一个面向客户的愿景,能够理解什么是风险,他们应该如何在参与过程中投入时间,更重要的是,如何报告漏洞以及如何按优先级对其进行分类。

pentesting的这种方法提供了一个完全不同的结果。基于风险的pentesting方法的报告将不同于常规pentesting方法的报告。

不再有成吨的日志或脚本,不再有成千上万个漏洞的列表;所有这些内容都将出现在附录中,并用作创建实际报告的支持,其中包含附加值。并不是说所有这些内容都是不必要的,这些活动需要执行,但它们不应该被公开。它们应该被深入分析和背景化,防ddos防御云,以提供有价值的内容。

这是脆弱性评估(几乎完全是原始数据,主要由自动化工具执行)和真正的pentest参与之间的区别。我不是说脆弱性评估永远都不合适。它们有自己的时间、地点和好处,包括它们非常便宜(或应该非常便宜),高防cdn_504错误什么意思,而且如果每周或每月进行一次,它们可以提供差距分析。但是,他们不会提供客户相关风险的信息,因为它们影响了业务。胡:基于风险的方法最终交付将考虑上下文,并将包含文本,许多来自于自动报表生成器的人类可读文本。内容将基于风险分析、业务背景,并将呈现现实的、优先的漏洞和补救措施。它还可以说明在现实世界的攻击中,几个本身并不重要的漏洞如何被链接在一起,从而产生重大影响。

最后,基于风险的方法构建的pentest并不比脆弱性评估类型的pentest贵多少。只是时间投资不同。相当一部分时间将投入到业务准备、与客户讨论和报告活动中。然后,执行部分将得到优化,并将重点放在最重要的元素和领域。这也将减少对客户运营的潜在影响,因为参与更具控制性、针对性,持续时间也更短。

因此,重要的是要记住,如果客户希望获得可采取行动的产出,ddos防御措施,就必须投入时间与pentest提供商进行讨论。如果你的pentest提供商没有要求,你将得到一个不太可行的漏洞评估,而不是一个现实的pentest.

做出你的选择。

随着年底的临近,库德尔斯基安全公司认为,这是一个很好的时机,安全专业人士来评估他们的计划,并公开反思什么是可行的,什么是可以改进的。如果您有兴趣了解更多基于风险的pentest如何帮助改善您的安全状况,我们可以谈谈。

作者最近发布的帖子Fabrice GuyeHead of Advisory Operations at Kudelski SecurityFabrice于2014年加入Kudelski security(2008年加入Kudelski Group),担任经验丰富的团队负责人。他以前领导过一个系统测试团队,还负责测试管理。在Kudelski Security,Fabrice最初负责创建和驱动pentesting服务,管理安全和风险评估团队,与客户建立信任关系,并管理交付质量和流程。他现在负责监督欧洲、中东和非洲地区的所有咨询服务活动。Fabrice Guye(见所有)的最新帖子渗透测试:基于风险的方式-2017年10月31日

FacebookTwitterEmail分享

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/70459.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9319954访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X