如何選擇可靠的安全測試服務提供商

申請免費試用、咨詢電話：400-8352-114

如何更好的管理企業(yè)網(wǎng)絡安全？在內(nèi)部缺少安全專家的情況下，你很有可能必須從外部的安全測試服務中選擇一家廠商。那么如何選擇可靠的安全測試服務提供商呢？在第三方安全測試服務時主要考慮要素有:

◆了解組織的應用攻擊面

◆解決預算問題

◆了解深入的測試分析

◆決定分析的頻率

應用攻擊表面

首先，了解需要測試的范圍很重要。有一些問題需要安全測試人員回答，如有多少應用需要測試，他們托管在哪里以及誰開發(fā)的他們?項目經(jīng)理也應該做好準備回答關(guān)于風險等級的問題。這些問題包括：哪些應用程序管理著最敏感的數(shù)據(jù)，哪些負責最有價值的操作，以及哪些代表著最大的風險?這些等級將有助于優(yōu)化測試活動。沒有回答這些問題，那么深入的決策很有可能會濫用資源。

預算

原始預算可能會嚴格控制在測試項目上。尤其是在沒有內(nèi)部開發(fā)預測的小企業(yè)中，預算可能是一個最重要的問題。以預算內(nèi)對外部廠商進行評估可以用幫助快速縮小領域，尤其是在決定采用深度測試分析時。

深度分析

所有的評估和測試活動并都不是一樣的。當評估第三方法測試服務時，了解具體將要哪類測試很重要。這決定了評估將提供的安全級別的洞察力。

靜態(tài)測試在空閑時查看應用代碼或二進制檔。動態(tài)測試檢查正在運行的系統(tǒng)，并執(zhí)行測試來決定的，或試圖決定應用現(xiàn)在的漏洞顯示的行為。如靜態(tài)和動態(tài)測試這樣的自動分析只依靠工具來努力把代碼模式或請求與響應配對匹配。

自動分析相對較便宜，但也存在一定的局限。例如，自動化測試只能識別出一些特定類型的漏洞，而對于確定依賴于應用的業(yè)務上下文環(huán)境的漏洞有哪些，它卻是無能為力了。除了因為自動分析的局限性而引入的漏報率外，自動化安全測試嘗嘗可以識別出誤報，這時分析會強調(diào)出可能是漏洞，而實際還沒有被利用的。

手動分析比較昂貴,因為它依賴于安全分析師來執(zhí)行測試。這提高了漏洞類型可識別的概率，所以期望手動測試過濾出誤報是很可行的。然而，復雜的手動測試成本可能會成為阻礙，即使對于有著大量資源的組織來說也是一項負擔。

分析頻率

安全前景一直在變化著，而且最重要的應用程序通常屬于主動開發(fā)類型。安全測試并不是一次性行為。

使用外部的測試機構(gòu)或服務對于不大型組織和小企業(yè)都是最常見的策略，只要他們需要引入安全測試功能和技能。但是，確保這些機構(gòu)能完全理解什么樣的測試將會按預期執(zhí)行很重要。另外，了解組織的攻擊層面和應用風險級別有助于確保測試預測的分配最優(yōu)化。

【推薦閱讀】

◆網(wǎng)管軟件專區(qū)

◆上網(wǎng)行為運維管理為何陷入人力成本困境？

◆網(wǎng)絡運維管理技巧之：小處著眼降低企業(yè)網(wǎng)絡運維工作負擔

◆網(wǎng)管軟件正在向上網(wǎng)行為運維管理軟件升級

◆上網(wǎng)行為運維管理專區(qū)

本文來自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:01 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]