渗透测试 - 局限性


由于信息和技术领域的快速发展,渗透测试的成功故事相对短暂。由于需要对系统提供更多保护,因此您需要更频繁地执行渗透测试,以便将成功攻击的可能性降低到公司认可的水平。

以下是渗透测试的主要局限性 -

  • 时间限制- 众所周知,渗透测试并不总是有时间限制的;尽管如此,渗透测试专家还是为每次测试分配了固定的时间。另一方面,攻击者没有时间限制,他们计划在一周、一个月甚至几年内进行攻击。

  • 范围的限制- 由于自身的限制,包括资源限制、安全限制、预算限制等,许多组织不会测试所有内容。同样,测试人员的范围有限,他必须留下系统的许多部分,这些部分可能会影响系统的性能。更加脆弱,并且可能成为攻击者的完美利基。

  • 访问限制- 通常测试人员对目标环境的访问受到限制。例如,如果一家公司从整个互联网网络对其 DMZ 系统进行了渗透测试,但如果攻击者通过正常的互联网网关进行攻击怎么办?

  • 方法的限制- 目标系统有可能在渗透测试期间崩溃,因此对于专业的渗透测试人员来说,某些特定的攻击方法可能会被排除在外。例如,产生拒绝服务洪水来转移系统或网络管理员的另一种攻击方法,这通常是真正坏人的理想策略,但它可能不符合大多数专业渗透测试人员的参与规则。

  • 渗透测试人员技能的限制- 通常,专业渗透测试人员的技能是有限的,无论他们的专业知识和过去的经验如何。他们中的大多数人专注于某一特定技术,而对其他领域的知识却很少。

  • 已知漏洞的限制- 许多测试人员只知道那些公开的漏洞。事实上,他们的想象力并不像攻击者那么发达。攻击者的思维通常超出测试人员的思维,并发现缺陷进行攻击。

  • 实验限制- 大多数测试人员都有时间限制,并遵循其组织或前辈已经给他们的指示。他们不尝试新事物。他们的思考不会超出给定的指示。另一方面,攻击者可以自由思考、试验并创建一些新的攻击路径。

而且,渗透测试既不能取代常规的IT安全测试,也不能取代通用的安全策略,而是渗透测试补充既定的审查程序并发现新的威胁。