初创公司有一个普遍误解是黑客不会在它们这些企业上浪费时间,因为他们还不够大或不够知名。但仅仅因为你小并不意味着你不在火线中。
初创公司的规模并不能使其免受网络攻击——这是因为黑客不断扫描互联网,寻找他们可以利用的漏洞,巧的也正是黑客最好的机会;一个失误,您的企业就会因为错误的原因成为头版新闻。
幸运的是,很多中大型企业也越来越意识到网络安全的重要性,并且通常会询问初创公司他们用来保护数据的流程——这意味着网络安全现在正成为一个重要推动环节。
因此,如果您是公司的一名网络运维者或者老板 ,正在考虑提升您的网络或移动应用程序的网络安全态势,那么您已经走在正确的轨道上,但有这么多选择,您应该从哪里开始?
为了帮助了解为什么要做安全测试,我们创建了以下指南,其中涵盖以下关键点:
- 回答“什么是安全测试?”的问题。
- 了解执行安全测试的原因
- 定义网络安全测试的范围
- 知道何时执行渗透测试
什么是安全测试?
安全测试是一个广义的术语,指的是检查系统、网络或软件是否存在黑客和其他威胁参与者可以利用的漏洞的过程。它可以有多种形式,因此在本文中,我们将探讨它的两个主要组成部分:
- 漏洞评估:使用工具扫描您的系统或应用程序是否存在安全问题的自动化安全测试。这些工具被称为“漏洞扫描器”,它们执行自动化测试以发现应用程序或基础架构中的缺陷。缺陷类型可能是应用程序级别的弱点、云配置问题,或者只是显示缺少安全补丁的软件(网络安全漏洞的最常见原因之一)。
- 渗透测试:主要由网络安全专家进行手动评估(尽管它通常由漏洞扫描工具支持),以及确定威胁参与者可以利用漏洞的程度。
渗透测试是在某个时间点找到尽可能多的弱点的好方法,但是您应该考虑在渗透测试人员回家后您多快收到新漏洞的警报(提示:不够快,您会想要一个漏洞扫描器)。
漏洞扫描程序还使组织能够在进行更深入且通常更昂贵的手动测试之前了解有关其安全状态的更多信息。这在许多情况下是显而易见的,因为渗透测试人员通常会通过运行相同的自动化工具来开始他们的测试。你不会想让他们太容易,对吧!)
为什么要进行安全测试?
Veracode 的软件安全状况报告显示,83% 的研究样本(包括全球 2,300 家公司使用的 85,000 个软件应用程序)在初始安全测试期间至少发现了一个安全漏洞。如果没有测试,这些缺陷就会被发布到生产环境中,使软件容易受到网络攻击。
如果出于这个原因,您决定开始安全测试只是为了在黑客之前发现您的弱点,那么很好。您可以灵活地决定自己的要求;跳到下一节。否则,执行安全测试的其他常见原因是:
- 第三方或客户的要求。如果合作伙伴或客户特别要求您执行安全测试以确保他们的客户数据免受网络攻击者的侵害——您可能有更严格的要求。然而,仍有解释的余地。客户需要“渗透测试”是很常见的,但他们很少具体说明这究竟意味着什么。
- 标准认证和行业法规。许多行业法规或合规性认证还要求组织定期进行安全测试。常见示例包括 ISO 27001、PCI DSS 和 SOC2。这些标准详细说明了所需的测试,但即使是最具体的也没有具体说明测试的方式或内容,因为这取决于手头的场景。出于这个原因,人们通常认为,接受测试的公司最适合确定哪种级别的安全测试在他们的场景中有意义。因此,您可能会发现以下指南在确定测试内容和方式方面仍然很有用。
您的客户或审计员总是会接到最后电话,但您最了解自己的业务,因此通过提出合理的测试策略,通常双方都能达成一致。
在个人安全测试之前考虑策略
风险评估:你的目标是多少?
每家公司都是独一无二的,因此,您的风险对您来说也是独一无二的。但是,很难知道什么是正确的测试级别。您可以使用以下内容作为我们在行业中看到的粗略指南:
1.如果你不存储特别敏感的数据
例如,您可能会提供网站正常运行时间监控工具并且不存储特别敏感的数据。在您成长到足以成为特定目标之前,您可能只需要担心那些寻找轻松选择的人会不加区分地进行黑客攻击。如果是这样,您更有可能只需要自动漏洞扫描。
专注于任何暴露在互联网上(或可能暴露在外)的系统,如任何远程访问(VPN、远程管理员登录)、防火墙、网站或应用程序、API,以及可能偶然发现自己在线的系统(云平台内的任何东西都可以太容易被意外放到互联网上)。
2. 如果您存储客户数据
也许你是一个营销数据分析平台,所以你可能会面临来自内部和犯罪团伙的威胁较小,但你肯定需要担心客户访问彼此的数据或一般数据泄露。或者,例如,您有一个应用程序,但任何人都可以在线注册一个帐户,您将要从普通用户的角度考虑“经过身份验证”的渗透测试——但可能不是从一个有限的员工角度考虑-端访问。您还需要确保员工的笔记本电脑完全安装了最新的安全更新。
3. 如果您提供金融服务
如果您是一家四处转移资金的金融科技初创公司,您将需要担心恶意客户甚至恶意员工——以及针对您的网络犯罪团伙。
如果是这样,您将需要考虑对所有这些场景进行持续的漏洞评估和定期的全手动渗透测试。
4.如果你没有任何暴露在互联网上的东西
也许您根本没有暴露在 Internet 上的任何东西,或者没有开发面向客户的应用程序——因此您的主要攻击面是员工笔记本电脑和云服务。在这种情况下,对您自己的笔记本电脑进行自动漏洞扫描是最有意义的,如果您需要额外的保证,您可以考虑一种更激进的渗透测试“称为红队”。
每家企业都是独一无二的,没有一种网络安全策略适用于每家初创公司。这就是为什么您需要首先了解自己的风险所在。
你需要保护什么?
理想情况下,在计划安全测试本身之前,您应该考虑您拥有哪些资产,包括技术资产和信息资产,这个过程称为“资产管理”。
一个非常简单的例子可能是:“我们有 70 台员工笔记本电脑,主要使用云服务,并将我们的客户数据存储和备份在 Google Cloud Platform 中,以及一个允许管理员和客户访问的应用程序。
我们最重要的数据是我们代表客户存储的数据,以及我们人力资源系统中的员工数据。”。仔细考虑这一点有助于您开始形成测试范围的基础。例如:
- 我们的 HR 系统是一项云服务,因此我们只需要求他们提供安全测试证明(因此无需自己测试)。
- 我们在 Google Cloud 中有哪些 IP 地址,注册了哪些域(有一些工具可以帮助解决此问题)。
- 我们的工程师不下载生产数据库,但可以访问我们的云系统,因此他们的笔记本电脑和云和电子邮件帐户也是我们攻击面的一部分。
执行资产管理将帮助您跟踪属于您组织的系统,并确定需要测试哪些 IP 地址和域名。
初创公司应该多久执行一次安全测试?
这取决于测试的类型!显然,自动化测试的好处是它们可以根据需要定期运行。虽然频繁运行渗透测试的成本更高。
每月至少执行一次常规漏洞扫描可以帮助加强您的 IT 基础架构,这是国家网络安全中心 (NCSC) 的建议。这种做法有助于公司关注永无止境的新威胁清单;每年都会报告超过 10,000 个新漏洞。除了定期的漏洞扫描外,还建议在每次系统更改时运行扫描。
漏洞扫描器的类型
您可以从多种类型的漏洞扫描程序中进行选择 — 基于网络、基于代理、Web 应用程序和基础架构。选择取决于您要保护的资产。
网络扫描仪的一些经典示例是 Nessus 和 Qualys。两者都是市场领导者,并提供强大的安全性和漏洞覆盖率。如果您想要一个易于上手的工具,您可以考虑的一个现代替代方案是Intruder。
这种在线漏洞扫描程序是专门开发的,可供非安全专家使用,同时提供高质量的检查,以及对新兴威胁的自动扫描。
Intruder 使用一种独特的算法来确定使您的系统暴露在外的问题的优先级,从而特别容易找出具有最高风险的问题。
漏洞评估的好处是什么?
漏洞评估旨在自动发现尽可能多的安全漏洞,以便在威胁行为者找到它们之前缓解这些漏洞。它还有助于使渗透测试(相比之下,这是一个手动过程)更加高效。事实上,正如NCSC所解释的那样,“通过定期进行漏洞扫描来处理‘低垂的果实’,渗透测试工作可以更有效地专注于更适合人类的复杂安全问题。”
什么时候进行渗透测试?
渗透测试工程师模仿现实生活中的网络攻击者,但与威胁行为者不同,他们遵循预定义的范围并且不会滥用组织的资产和数据。与漏洞扫描相比,它们更有可能发现复杂或高影响力的业务层弱点,例如操纵产品定价、使用客户帐户访问另一位客户的数据,或从最初的弱点转向完全的系统控制。缺点是相比之下,它很昂贵,那么什么时候运行一个合适的时间呢?
考虑上述风险评估的关键时间表,例如,在您的产品开发之后但在您开始获取真实客户数据之前。或者在您持有一些非敏感客户数据之后,但在您开始持有工资或健康相关信息之前。
一旦启动并运行,应该在重大更改后执行渗透测试,例如更改身份验证系统,发布主要新功能;或者在 6-12 个月的小变化之后(因为理论上每一个变化都可能会意外引入一个弱点)。
同样,这取决于您的风险水平;如果您每三个月转移一次资金也是可取的(或更多!),但如果您处于风险范围的低端,则每 12 个月一次是普遍接受的时间表。
渗透测试应在实施重大系统更改之前或每隔 6-12 个月进行一次。
存在几种类型的渗透测试。渗透测试可以寻找技术中的安全漏洞,例如在您的外部和内部网络以及 Web 应用程序中。但是,它也可以发现组织人力资源中的漏洞,例如在社会工程的情况下。
您选择的渗透测试公司取决于您要测试的资产类型,但也应考虑其他因素,例如认证、价格和经验。
结论
安全测试是一个关键的网络安全过程,旨在检测系统、软件、网络和应用程序中的漏洞。其最常见的形式是漏洞评估和渗透测试,但目标始终是在恶意行为者利用它们之前解决安全漏洞。
请记住,威胁行为者还会执行例行安全测试,以寻找他们可以滥用的任何漏洞。一个安全漏洞就足以让他们发起大规模的网络攻击。虽然这可能令人恐惧,但您的公司可以通过定期执行网络安全测试来获得更好的保护。
实施此策略可能具有挑战性,因为没有一刀切的安全测试解决方案。所以企业可以配备网络安全测试人员维护企业网络安全问题,定期做好安全评估,也可以和网络安全企业进行一个驻场维护的工作。雨笋教育培养的渗透人员绝大部分从事这一行工作,既为市场解决问题,也为许多中小型企业解决燃眉之急。