宣布对未经宣布的渗透测试

Share

|

有两种不同类型的测试，可以执行：宣布并未经宣布。 区别来，当你确定是什么，现在是面临考验：网络安全设备或网络安全工作人员。

定义

以下定义有助于澄清两国间的分歧类型的测试。

• 公布测试 ，是美国企图以获取和取出事先国旗档案（ s ）或妥协，系统对客户网络与充分的合作和知识的资讯科技人员。 这种测验检视现有的安全基础设施和个别系统潜在的弱点。 创造一个以团队为导向的环境，使该组织的成员的安全工作人员的一部分，渗透队允许有针对性攻击的最有价值的主持人。

• 未经宣布的测试 ，是美国企图以获取和取出事先国旗档案（ s ）或妥协，系统对客户网络与认识的，只有上级的管理。 这样的测试检验双方现有的安全基础设施和反应能力的员工。 如果入侵检测和事故应急计划已经创造了，这类型的测试将确定任何弱点，他们处决。 未经宣布的测试提供了一个试验的组织的安全程序，除了安全的基础设施。

在这两种情况下，它代表该组织的人，通常会报告安全漏洞，以合法当局应该认识到测试，以防止升级，以执法组织。

此外，管理部门可能发生的某些限制，对贯入试验本身，例如，需要履行的部分测试（例如，战争拨号）下班后，为了避免某些关键服务器上的网络，只用某一个子集工具或利用（例如，略去拒绝服务工具） ，等等。 这些准则来自上层管理部门申请，不论以何种类型的接触。 在总结该次接触，系统管理员应该可以审查日志，以确定贯入试验，并帮助他们找出攻击，在未来的。

正反两方面的意见两种类型的渗透测试

任何事都有其优点和缺点。 在本节中，我们讨论了正反两方面的意见，每个类型的渗透测试。

利弊宣布测试，是一种有效的方法去检查和调节的安全控制该组织已准备就绪。 它创造了一个以团队为导向的安全方针，并允许该组织的工作人员，以第一手的经验，他们的网络，看起来像一种可能的入侵者。 此外，与它的工作人员，让测试仪，以集中精力于最关键系统。

未经宣布的测试需要有一种更微妙的方式。 该试验机的尝试，以确定目标和妥协的安全性，同时留下的雷达屏幕上的目标的组织。 这个试验可以证明，更为可贵的，以该组织因应各种测试项目以外的技术。

两种意见已公布的测试，因为大洞，是确定对客户网络，系统管理员将关闭他们很快以避免妥协。 这可以作进一步的渗透很难不容许再妥协的脆弱性。 此外，还宣布了测试，让保安人员，时间，以临时改动向网络添加更多的安全。 这给管理的一种虚假的安全感。 该网络可以安稳地在测试，但一旦测试完成及原设定都已得到修复，任何原有的脆弱性将回报为好，者在该组织。

风险与未经宣布的测试是，既然安全管理员不知道作为一个测试目前正在履行的，他们将作出回应，因为他们会向黑客和阻挠渗透测试工作（辍学连接，重新启动机器，等等） 。 这就表明，一个良好的回应/检测过程是在地方，但它可以降低测试短。 危险与这次试验是偶然安全管理员已经知道联络有关当局报告，渗透活动。 为控制这方面的风险，该组织应该有一个升级的过程中发生的一个具体的个人负责联络机关。 这个人应该知道试验正在进行。

另一种风险在事前测试的是系统管理员可能会作出修改，以环境，在测试期间，这可能会扭曲结果。 如果网络管理员是提升系统，实行一项新的服务，或采取某些系统离线测试期间，结果可能并非如有用，因为否则会。 此外，该测试仪是应该知道的季度或每半年每季事件（如大量转让的信息，从会计）和备份时间表，以避免干扰这些行动。

记载妥协

有时在渗透测试，客户可能会不舒服，让测试仪，以执行行动实际上导致一种妥协。 举例来说，我们也有可能获得路由器网络a和改变其路由表中出现，犹如（攻击）网络是一个值得信赖的，内部网，然后在交通干线，从网络通过路由器到另一个亲信，内部网络，网络乙则毫不妥协的路由器将能够连接测试仪和目标网络（二） ，绕过安全措施通过其信托关系不那么安全网络（一） 。

不过，客户可能不希望这一活动进一步演出。 改变路由表可能导致更多的并发症，为客户的网络。 客户可以确信，你能证明这是可以做到的，并描述如何确定的情况。 屏幕快照的文档系统接入可能好工作，作此用途。 在这种情况下，文件可能攻击再加上它的风险水平，并提供对策。