如何選擇可靠的安全測試服務提供商
時間:2014-07-30
如何更好的管理企業網絡安全?在內部缺少安全專家的情況下,你很有可能需要從外部的安全測試服務中選擇一家廠商。那么如何選擇可靠的安全測試服務提供商呢?在第三方安全測試服務時主要考慮要素有:
◆了解組織的應用攻擊面
◆解決預算問題
◆了解深入的測試分析
◆決定分析的頻率
應用攻擊表面
首先,了解需要測試的范圍很重要。有一些問題需要安全測試人員回答,如有多少應用需要測試,他們托管在哪里以及誰開發的他們?項目經理也應該做好準備回答關于風險等級的問題。這些問題包括:哪些應用程序管理著很敏感的數據,哪些負責有價值的操作,以及哪些代表著較大的風險?這些等級將有助于優化測試活動。沒有回答這些問題,那么深入的決策很有可能會濫用資源。
預算
原始預算可能會嚴格控制在測試項目上。尤其是在沒有內部開發預測的小企業中,預算可能是一個很重要的問題。以預算內對外部廠商進行評估可以用幫助快速縮小領域,尤其是在決定采用深度測試分析時。
深度分析
所有的評估和測試活動并都不是一樣的。當評估第三方法測試服務時,了解具體將要哪類測試很重要。這決定了評估將提供的安全級別的洞察力。
靜態測試在空閑時查看應用代碼或二進制檔。動態測試檢查正在運行的系統,并執行測試來決定的,或試圖決定應用現在的漏洞顯示的行為。如靜態和動態測試這樣的自動分析只依靠工具來努力把代碼模式或請求與響應配對匹配。
自動分析相對較便宜,但也存在一定的局限。例如,自動化測試只能識別出一些特定類型的漏洞,而對于確定依賴于應用的業務上下文環境的漏洞有哪些,它卻是無能為力了。除了因為自動分析的局限性而引入的漏報率外,自動化安全測試嘗嘗可以識別出誤報,這時分析會強調出可能是漏洞,而實際還沒有被利用的。
手動分析比較昂貴,因為它依賴于安全分析師來執行測試。這提高了漏洞類型可識別的概率,所以期望手動測試過濾出誤報是很可行的。然而,復雜的手動測試成本可能會成為阻礙,即使對于有著大量資源的組織來說也是一項負擔。
分析頻率
安全前景一直在變化著,而且重要的應用程序通常屬于主動開發類型。安全測試并不是一次性行為。
使用外部的測試機構或服務對于不大型組織和小企業都是常見的策略,只要他們需要引入安全測試功能和技能。但是,確保這些機構能完全理解什么樣的測試將會按預期執行很重要。另外,了解組織的攻擊層面和應用風險級別有助于確保測試預測的分配優化。
【推薦閱讀】
- 上一篇:網管軟件使用有技巧
- 下一篇:網絡維護如何防止雷電侵擾?
