无码视频在线观看,99人妻,国产午夜视频,久久久久国产一级毛片高清版新婚

  • 始創(chuàng)于2000年 股票代碼:831685
    咨詢熱線:0371-60135900 注冊(cè)有禮 登錄
    • 掛牌上市企業(yè)
    • 60秒人工響應(yīng)
    • 99.99%連通率
    • 7*24h人工
    • 故障100倍補(bǔ)償
    全部產(chǎn)品
    您的位置: 網(wǎng)站首頁 > 幫助中心>文章內(nèi)容

    更有效的滲透測試 更簡單的安全
    發(fā)布時(shí)間:  2012/7/11 10:49:25

    滲透測試不應(yīng)該僅僅關(guān)注于漏洞掃描,牢靠的滲透測試應(yīng)該產(chǎn)生有意義的數(shù)據(jù),能夠展現(xiàn)戰(zhàn)略性的調(diào)查結(jié)果。

      奧蘭多報(bào)導(dǎo)——據(jù)某位安全專家兼作者表示,企業(yè)在信息安全技術(shù)上投入巨資,卻未能扭轉(zhuǎn)不斷受到攻擊這一局面。在2012年的信息安全世界會(huì)議及博覽會(huì)上,該專家極力主張2500多名與會(huì)者通過實(shí)施更有效的滲透測試來反思他們的風(fēng)險(xiǎn)優(yōu)先級(jí)理念。

      “就我所知我們是唯一不斷地投入越來越多金錢的行業(yè),然而我們的問題每況愈下。”Dave Kennedy說到。他是位于北坎敦俄亥俄州的Diebold有限公司的副總裁兼全球風(fēng)險(xiǎn)及安全CSO。“我們?cè)黾宇A(yù)算、擴(kuò)大投入,每次購買的產(chǎn)品都是大會(huì)的時(shí)髦術(shù)語。”

      Kennedy是一名滲透測試人員、也是《Metasploit:滲透測試人員指導(dǎo)》一書的作者,他用他開發(fā)的社交工程工具軟件Toolkit演示了好幾種攻擊。在不到一分鐘內(nèi)Kennedy用該工具克隆了某個(gè)web站點(diǎn),使用合法的數(shù)字簽名瞄準(zhǔn)了某個(gè)受害者的機(jī)器。他展示了如何快速地完全控制該員工電腦,以及簡單地使用HTTP連接來竊取數(shù)據(jù),這些都是通過完全模擬瀏覽器做到的。

      “你們的安全技術(shù)沒有阻止這些攻擊,而且這種類型的黑客攻擊來說我不太擅長,”Kennedy表示。“許多孩子在這種技術(shù)表現(xiàn)非凡,他們不僅僅是腳本小子,他們正在變成老練的攻擊者”。

      Kennedy表示,大多數(shù)的CISO和安全從業(yè)人員幻想擁有戒備森嚴(yán)護(hù)城河的城堡將外來的攻擊者拒之門外,但是合規(guī)遵從和安全技術(shù)增加了復(fù)雜性,使得安全要解決的那些危險(xiǎn)愈加復(fù)雜。“我們整個(gè)失去了平衡,我們的專注點(diǎn)在于合規(guī)性,當(dāng)無法確保那些需要保障的資產(chǎn)安全時(shí),就從廠商那里購買產(chǎn)品”。

      Kennedy提倡使用滲透測試執(zhí)行標(biāo)準(zhǔn)(Penetration Testing Execution Standard,簡稱PTES),該標(biāo)準(zhǔn)及成熟度模型是在兩年前的ShmooCon黑客大會(huì)上設(shè)計(jì)的。PTES用于為公司和安全服務(wù)提供商提供一個(gè)通用的語言和范疇,完成滲透測試。他談到目前有6000人參與到PTES的制定中,公司可以利用該標(biāo)準(zhǔn)提出特定的要求,來評(píng)估滲透測試人員。

      滲透測試不應(yīng)該僅僅關(guān)注于漏洞掃描,Kennedy談到。相反,牢靠的滲透測試應(yīng)該產(chǎn)生有意義的數(shù)據(jù),能夠展現(xiàn)戰(zhàn)略性的調(diào)查結(jié)果,這些結(jié)果應(yīng)該能解決大多數(shù)的根本問題。通常經(jīng)過滲透測試的企業(yè),只是以發(fā)現(xiàn)1500個(gè)系統(tǒng)漏洞的海量報(bào)告告終,而沒有解決這些問題根源的真正方法,Kennedy表示。

      “滲透測試應(yīng)該是不拘泥的、而且要模擬攻擊者的行為”,Kennedy談到。“我們需要擺脫所有這些昂貴技術(shù)的禁錮,它們僅是幫助你推測位于中國的某個(gè)人是如何在凌晨2點(diǎn)使用零日攻擊黑了你的系統(tǒng)。那不起作用”。

      滲透測試應(yīng)該包括正式使用前的交互,Kennedy談到。在這個(gè)過程中滲透測試人員收集情報(bào),懂得公司如何賺取利潤。威脅建模有助于弄清楚哪些攻擊方式會(huì)對(duì)公司造成最大的影響。漏洞分析尋找系統(tǒng)弱點(diǎn),發(fā)現(xiàn)旨在獲得內(nèi)部網(wǎng)絡(luò)訪問的精確攻擊,它們接著取得敏感數(shù)據(jù),對(duì)公司業(yè)務(wù)造成巨大破壞。

      “這在于如何傳達(dá)信息。它不是借助于一個(gè)長達(dá)1500頁的報(bào)告,因?yàn)樵谶@些報(bào)告中90%的調(diào)查結(jié)果是廢話”,Kennedy說到:“你需要認(rèn)識(shí)到公司有哪些體系上的問題,并且這些測試人員花多長時(shí)間可以將數(shù)據(jù)帶出公司”。

      會(huì)議的與會(huì)者普遍對(duì)PTES表示樂觀,并且表示它可以減少滲透測試項(xiàng)目中聘請(qǐng)出價(jià)最低的人的常見做法。運(yùn)行漏洞掃描軟件、并且嘗試解決所有這些結(jié)果并不奏效,D. David Orr談到。他是美國聯(lián)邦存款保險(xiǎn)公司風(fēng)險(xiǎn)管理監(jiān)督部門的IT檢查分析員。Orr說他知道一些銀行和信用合作社因?yàn)槿狈?nèi)部的專家意見而奮戰(zhàn)于800頁的報(bào)告,還在不斷投入費(fèi)用。“翻閱這些報(bào)告你可以看到有許多虛假的積極。我建議他們從不要如此糾結(jié)開始。”


    本文出自:億恩科技【mszdt.com】

      奧蘭多報(bào)導(dǎo)——據(jù)某位安全專家兼作者表示,企業(yè)在信息安全技術(shù)上投入巨資,卻未能扭轉(zhuǎn)不斷受到攻擊這一局面。在2012年的信息安全世界會(huì)議及博覽會(huì)上,該專家極力主張2500多名與會(huì)者通過實(shí)施更有效的滲透測試來反思他們的風(fēng)險(xiǎn)優(yōu)先級(jí)理念。

      “就我所知我們是唯一不斷地投入越來越多金錢的行業(yè),然而我們的問題每況愈下。”Dave Kennedy說到。他是位于北坎敦俄亥俄州的Diebold有限公司的副總裁兼全球風(fēng)險(xiǎn)及安全CSO。“我們?cè)黾宇A(yù)算、擴(kuò)大投入,每次購買的產(chǎn)品都是大會(huì)的時(shí)髦術(shù)語。”

      Kennedy是一名滲透測試人員、也是《Metasploit:滲透測試人員指導(dǎo)》一書的作者,他用他開發(fā)的社交工程工具軟件Toolkit演示了好幾種攻擊。在不到一分鐘內(nèi)Kennedy用該工具克隆了某個(gè)web站點(diǎn),使用合法的數(shù)字簽名瞄準(zhǔn)了某個(gè)受害者的機(jī)器。他展示了如何快速地完全控制該員工電腦,以及簡單地使用HTTP連接來竊取數(shù)據(jù),這些都是通過完全模擬瀏覽器做到的。

      “你們的安全技術(shù)沒有阻止這些攻擊,而且這種類型的黑客攻擊來說我不太擅長,”Kennedy表示。“許多孩子在這種技術(shù)表現(xiàn)非凡,他們不僅僅是腳本小子,他們正在變成老練的攻擊者”。

      Kennedy表示,大多數(shù)的CISO和安全從業(yè)人員幻想擁有戒備森嚴(yán)護(hù)城河的城堡將外來的攻擊者拒之門外,但是合規(guī)遵從和安全技術(shù)增加了復(fù)雜性,使得安全要解決的那些危險(xiǎn)愈加復(fù)雜。“我們整個(gè)失去了平衡,我們的專注點(diǎn)在于合規(guī)性,當(dāng)無法確保那些需要保障的資產(chǎn)安全時(shí),就從廠商那里購買產(chǎn)品”。

      Kennedy提倡使用滲透測試執(zhí)行標(biāo)準(zhǔn)(Penetration Testing Execution Standard,簡稱PTES),該標(biāo)準(zhǔn)及成熟度模型是在兩年前的ShmooCon黑客大會(huì)上設(shè)計(jì)的。PTES用于為公司和安全服務(wù)提供商提供一個(gè)通用的語言和范疇,完成滲透測試。他談到目前有6000人參與到PTES的制定中,公司可以利用該標(biāo)準(zhǔn)提出特定的要求,來評(píng)估滲透測試人員。

      滲透測試不應(yīng)該僅僅關(guān)注于漏洞掃描,Kennedy談到。相反,牢靠的滲透測試應(yīng)該產(chǎn)生有意義的數(shù)據(jù),能夠展現(xiàn)戰(zhàn)略性的調(diào)查結(jié)果,這些結(jié)果應(yīng)該能解決大多數(shù)的根本問題。通常經(jīng)過滲透測試的企業(yè),只是以發(fā)現(xiàn)1500個(gè)系統(tǒng)漏洞的海量報(bào)告告終,而沒有解決這些問題根源的真正方法,Kennedy表示。

      “滲透測試應(yīng)該是不拘泥的、而且要模擬攻擊者的行為”,Kennedy談到。“我們需要擺脫所有這些昂貴技術(shù)的禁錮,它們僅是幫助你推測位于中國的某個(gè)人是如何在凌晨2點(diǎn)使用零日攻擊黑了你的系統(tǒng)。那不起作用”。

      滲透測試應(yīng)該包括正式使用前的交互,Kennedy談到。在這個(gè)過程中滲透測試人員收集情報(bào),懂得公司如何賺取利潤。威脅建模有助于弄清楚哪些攻擊方式會(huì)對(duì)公司造成最大的影響。漏洞分析尋找系統(tǒng)弱點(diǎn),發(fā)現(xiàn)旨在獲得內(nèi)部網(wǎng)絡(luò)訪問的精確攻擊,它們接著取得敏感數(shù)據(jù),對(duì)公司業(yè)務(wù)造成巨大破壞。

      “這在于如何傳達(dá)信息。它不是借助于一個(gè)長達(dá)1500頁的報(bào)告,因?yàn)樵谶@些報(bào)告中90%的調(diào)查結(jié)果是廢話”,Kennedy說到:“你需要認(rèn)識(shí)到公司有哪些體系上的問題,并且這些測試人員花多長時(shí)間可以將數(shù)據(jù)帶出公司”。

      會(huì)議的與會(huì)者普遍對(duì)PTES表示樂觀,并且表示它可以減少滲透測試項(xiàng)目中聘請(qǐng)出價(jià)最低的人的常見做法。運(yùn)行漏洞掃描軟件、并且嘗試解決所有這些結(jié)果并不奏效,D. David Orr談到。他是美國聯(lián)邦存款保險(xiǎn)公司風(fēng)險(xiǎn)管理監(jiān)督部門的IT檢查分析員。Orr說他知道一些銀行和信用合作社因?yàn)槿狈?nèi)部的專家意見而奮戰(zhàn)于800頁的報(bào)告,還在不斷投入費(fèi)用。“翻閱這些報(bào)告你可以看到有許多虛假的積極。我建議他們從不要如此糾結(jié)開始。”


    本文出自:億恩科技【www.enidc.com】
    -->

    服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營性ICP/ISP證:京B2-20150015
    •
  • 億恩鄭州公司:
  • 經(jīng)營性ICP/ISP/IDC證:豫B1.B2-20060070
    •
  • 億恩南昌公司:
  • 經(jīng)營性ICP/ISP證:贛B2-20080012
    •
  • 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
  • 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-60135900
    •
    專注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號(hào)
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問:河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
      1
     
     
     
     

    0371-60135900
    7*24小時(shí)客服服務(wù)熱線