NISP官网|国家信息安全水平考试NISP运营管理中心|国家网络空间安全人才培养基地欢迎您!

图片展示
搜索

图片展示

ISAT

信息安全意识培训

【立即报名】

NISP一级

国家信息安全水平考试

【立即报名】

NISP二级

国家信息安全水平考试

【立即报名】

NISP三级

国家信息安全水平考试

【立即报名】

CISP

注册信息安全专业人员

【立即报名】

NISP一级考试预约

 

图片展示

2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍

 

       2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。

       本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:

1.1.全国初

初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。

☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛

☑ 参赛资格:全国各类高、中等院校在校学生

☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。

☑ 比赛题型:初赛为50道单选题。

☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。

☑ 通过条件:满分100分,竞赛成绩达到70分及以上。

 

1.2.全国复赛

全国复赛主要考察参赛选手网络安全基础知识和基本技能。

☑ 比赛时间:9月24日全国复赛

☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。

☑ 比赛题型:复赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。

☑ 通过条件:全国前100名通过参加线下总决赛

 

1.3.全国总决赛

全国总决赛为线下知识竞赛形式。

☑ 比赛时间:10月11日全国线下总决赛

☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。

☑ 比赛题型:总决赛为100道单选题,

☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。

☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。

 

1.4.奖项设置

2021年第二届大学生网络安全竞赛共设奖金20万元。

金奖:10人,奖金10000元/人

银奖:10人,奖金5000元/人

铜奖:20人,奖金2500元/人

获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。

 

4. 大赛同期其他活动

本次大赛同期将进行一系列与相关的活动,主要活动如下:

1.1大学生网络安全知识精英赛校园大使招募

第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:

 1.1.1.招募标准

具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。

1.1.2.招募平台

抖音APP

1.1.3.报名方式

1、开通抖音账号,并关注抖音官方号“网安精英赛”。

2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。

4、发动同学为自己的短视频点赞。

1.1.4.评选

大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。

1.1.5.公布

最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。

1.1.6.表彰

成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。

 

1.2大学生网络安全知识精英赛答题接龙活动

校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。

活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单

参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。

在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。

奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。

 

NISP-PT线上班测验申请

  • 姓名 *

  • 手机号 *

  • 学历 *

  • 专业 *

  • 年龄 *

  • 提交申请

  • 验证码
    看不清?换一张
    取消
    确定

  • 报名咨询
  • 登录学习

免费领取渗透测试线上班试听课

  • 姓名 *

  • 手机号 *

  • 微信号

  • 立即领取

  • 验证码
    看不清?换一张
    取消
    确定

【NISP-PTE渗透测试】聊一聊安全测试的各种姿势

作者:shengl99 来源:转载自FreeBuf.COM

今年以来,红蓝攻防演练在企业安全服务市场变得非常火热,特别是在演习行动推动下,很多企业都会在实际演习行动之前都会进行一两轮、甚至三四轮的攻防演练,以提前发现企业安全体系建设中的短板与弱项。然而,有些企业就开始有点迷茫了,我们公司一直在购买渗透测试服务,还有必要搞红蓝攻防演练吗?渗透测试与红蓝攻防演练到底有何不同呢?在此,笔者就来聊聊渗透测试的各种姿势.

一、渗透测试基本概念

根据百度百科的定义:渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制。搜狐网某网友分享的定义:渗透测试就是在取得客户授权的情况下,通过模拟黑客攻击来对客户的整个信息系统进行全面的漏洞查找、分析、利用,最后给出完整的渗透报告和问题解决方案。从这些定义看,渗透测试内涵其实还是非常宽泛的,没有限定具体的表现形式。因此,在具体实施过程中,甲方公司根据各自的企业情况(如风险容忍程度、CTO/CSO个人喜好、预算投入、财务制度等)进行灵活的协商,形成了适应企业实际情况的渗透测试模式,可以说,在一千个企业里,就存在着一千种渗透测试模式。

二、渗透测试的各种姿势

不过,从笔者观察来看,这些不同的渗透测试模式,大致可以分为以下五种:上线前的渗透测试、上线后定期在线安全测试、依托众测平台的安全众测、自组织的安全众测、红蓝攻防演练。

(一)上线前渗透测试

这应该是各种企业安全测试的标配了,一般都是信息系统已经完成了联调联试,各项功能指标、技术指标已经达到了设计要求之后,在企业的测试环境中进行的一次渗透测试。从某种意义说,上线前的渗透测试就是一个安全的Checklist,一般关注技术性漏洞,利用各种工具检查系统存不存在xss、文件上传、越权访问、命令执行等漏洞。渗透测试结果一般直接转给业务系统开发人员,对企业内其他人员的安全意识传导作用比较薄弱。

目标系统:单个业务系统的测试环境系统

涉及人员:业务系统开发人员、组织测试的安全人员

风险程度:最小,测试环境实施,不会影响业务。

发现问题的影响面:单个系统

乙方厂商组织形式:一般会采用购买人力包或项目包的方式实施,购买一至两家安全厂商的服务,在此推荐至少购买两家,形成竞争格局。

局限性:难以实现测试面全覆盖、不能发现因上线过程中配置失误导致的安全漏洞。

(二)上线后定期在线安全测试

因为上线前的渗透测试不能发现因上线过程中配置失误导致的安全漏洞,所以,有些企业就会采用上线后定期在线安全测试的形式,比如,每季度、每个重大活动之前等。根据实际情况,在线安全测试的目标可以选择专门针对某一系统或几个系统,也可以选择全量的在线业务系统。安全测试不仅是从技术角度正面进攻检测漏洞,还会通过端口扫描、资产发现、管理后台扫描等手段,发现因配置失误导致的安全漏洞。

目标系统:一个或多个生产环境系统

涉及人员:业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员

风险程度:存在一定风险,一是有些高危操作可能会给企业生产数据造成脏数据的风险;二是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。

发现问题的影响面:单个系统

乙方厂商组织形式:一般会采用购买人力包或项目包的方式实施,购买一至两家安全厂商的服务,在此推荐至少购买两家,形成竞争格局。

局限性:难以实现测试面全覆盖。

(三)依托众测平台的安全众测

随着各企业互联网应用不断增多,传统的安全渗透测试也面临着测试人手不足、产品版本更迭太快来不及测试等问题。甲方厂商发现无论是代码安全测试、上线前渗透测试,还是上线后定期安全测试,都无法完全及时发现企业全量的安全漏洞,各类安全漏洞平台还是会出现自己的安全漏洞。与其坐以待毙,还不如主动作为,于是乎,有些甲方厂商就开始与众测平台合作,通过协议委托众测平台发布专业测试项目,参与项目的白帽子需通过审核认证后才能报名参与众测项目,依托外部白帽子发现企业的安全漏洞。

目标系统:可以是一个或多个生产环境系统,也可以是待发布的测试环境系统。

涉及人员:业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员

风险程度:存在较高风险,一是白帽子的管理较为松散,背景调查、身份核验等难度较大。二是有些高危操作可能会给企业生产数据造成脏数据的风险;三是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。

发现问题的影响面:单个系统

乙方厂商组织形式:选择一家互联网安全众测平台作为安全众测服务商,由其组织白帽子参与项目众测,在白帽子之间形成竞争机制。与众测平台签订项目制,可以在众测平台在线公开发布众测项目,也可以依托众测平台通过线下组织众测项目。

局限性:难以发现高阶安全漏洞。

(四)企业自组织的安全众测

随着众测的发展,有些比较大的甲方厂商就开始存在不同的思路了。一是有些企业觉得与其到众测平台开众测项目收集企业安全漏洞,还不如我自己直接接收白帽子的安全漏洞,于是,各大互联网公司都开始建立各自的SRC安全应急响应中心,在其中提供专门的漏洞收集板块,供白帽子提交漏洞,为白帽子提供积分、礼品、现金等奖励。二是有些企业觉得众测平台较难管控安全风险,普通的渗透测试缺乏竞争机制,难以发现高阶安全漏洞。于是这些企业就开始组织厂商众测模式,选择四五家安全厂商同时开展安全测试,然后按漏洞效果付费,漏洞等级高,付费就高,等级低,付费就低。

目标系统:一个或多个生产环境系统。

涉及人员:业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员

风险程度:存在较高风险,一是SRC模式中白帽子的管理较为松散,背景调查、身份核验等难度较大。二是有些高危操作可能会给企业生产数据造成脏数据的风险;三是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。

发现问题的影响面:厂商众测可能会发现影响面较大的安全漏洞

乙方厂商组织形式:选择多家(一般为2至5家)安全渗透测试公司,分别组织专业渗透人员参与项目众测,按漏洞效果付费,在多家公司之间形成竞争机制,择优淘劣。

局限性:安全漏洞数量不可控,企业投入可能较大,乙方的服务不能持续实施,一般以项目制形式,预算花完就停止服务。

(五)红蓝攻防演练

以上说的渗透测试都相当于单项打靶射击考核,一次专项性的能力测验,以发现技术漏洞的目的为主。而红蓝攻防演练考验的是企业的整体防护水平和防护体系,如全体人员安全意识、防护系统检测发现能力、目标系统漏洞情况等,既考验了防护系统的有效性,又全面检查系统各类漏洞情况,还考验人员的安全意识。

因此,红蓝攻防演练一般是针对企业的全部信息系统、分支机构,不设具体目标、不限具体手段,全面检验企业的主动防护、安全检测、应急处置等能力,发现系统技术漏洞反而是附属性的。在攻防演练过程中,一,攻击者会利用社工、边边角角系统等进行迂回包抄,直到达到入侵系统的目的为止。任何一点疏漏都可能导致整体防护体系的溃败。攻防演练考验的是企业的总体防护水平。二,攻防演练不仅能发现技术性漏洞,还能发现企业安全管理上的漏洞、防护体系上的漏洞、防护策略上的漏洞等。三、攻防演练的对象企业全体资产、人员、数据等,因此,任何一个人、系统都可能成为企业安全防护体系中的短板。最后在演练总结通报中,加以总结提炼,传达到企业全员,可以达到提升全员安全意识的目的。在集中攻防演练期间,企业安全人员作为防守方,充分参与攻防过程,可以有效提升防护人员的技术水平。

目标系统:企业全体资产、人员、数据、系统。

涉及人员:企业全体人员

风险程度:存在较高风险,一是有些高危操作可能会给企业生产数据造成脏数据的风险;二是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。

发现问题的影响面:能够全面发现企业安全体系的漏洞

乙方厂商组织形式:选择多家(一般为2至5家)安全渗透测试公司,分别组织专业渗透人员参与红蓝攻防演练,按漏洞效果付费,在多家公司之间形成竞争机制,择优淘劣。

局限性:安全漏洞数量不可控,企业投入可能较大,乙方的服务不能持续实施,一般以项目制形式,预算花完就停止服务。

三、渗透测试服务的选购建议

综上所述,甲方企业在进行年度的安全渗透服务预算时,可以适当考虑多层次的安全渗透测试服务,以达到尽可能多的发现安全漏洞目的。

首先,上线前渗透测试和上线后定期安全测试应该是企业安全渗透测试服务的标准选择。有些企业可能害怕渗透测试影响业务运行,而只选择上线前渗透测试。但是,殊不知有些系统上线过程中产生漏洞危害也是巨大的,更有甚者,有些系统上线前根本就没有经过安全渗透测试或者阶段变更没有经过安全渗透测试,这些都会导致渗透测试在流程上、机制上存在覆盖盲点。

其次,安全众测可以适当考虑投入预算,毕竟渗透测试领域的“人民战争”、“群众路线”威力还是不可小觑的。预算少的中小企业可以在众测平台上开个众测项目,预算多的大企业可以考虑建设自己的SRC服务,或者自己组织进行厂商众测。有些人认为我们是很低调的公司,有没有必要开个众测项目来引起外部白帽子的注意力。在此,我想说的是,无论你低调不低调,漏洞总在那里,不主动去发现它、修复它,它始终在那里,与其被动挨打,不如主动出击。

最后,大企业在进行安全渗透测试服务预算规划和年度计划时,应尽量能安排一些攻防演练经费,红蓝攻防演练给企业安全建设带来的好处只有亲身经历才能体会其中真味。一是,每年固定一至俩个时间点(上、下半年各一次),发布攻防演练通告,集中开展攻防演练工作(集中时间点)。二、一般企业可组织外部安全团队进行攻防演练,防护方由企业内部人员担当,攻击者由外部企业组织。大厂一般都开始建立专门的安全渗透团队,号称企业蓝军,经常性开展攻防演练工作。三、渗透测试可适当形成夺标奖励机制,要以企业的攻击成果论英雄、给经费,不要让外部企业感觉干多干少一个样,有没有效果一个样。

【NISP-PTE90天渗透测试工程师就业培训班,2020年2月17日正式开班。

结业颁发NISP三级证书,推荐就业,学习期间优秀学员可有偿参与渗透实战项目,增加项目经验,边学习边赚钱。

培训地址:北京海淀区紫竹院路98号化工大学西校区教学楼5层。

报名联系人闫老师:13520961307/nisptest(电话/微信)

0
NISP管理中心

【NISP-PTE渗透测试】聊一聊安全测试的各种姿势

作者:shengl99 浏览: 发表时间:2020-01-17 13:36:05 来源:转载自FreeBuf.COM

今年以来,红蓝攻防演练在企业安全服务市场变得非常火热,特别是在演习行动推动下,很多企业都会在实际演习行动之前都会进行一两轮、甚至三四轮的攻防演练,以提前发现企业安全体系建设中的短板与弱项。然而,有些企业就开始有点迷茫了,我们公司一直在购买渗透测试服务,还有必要搞红蓝攻防演练吗?渗透测试与红蓝攻防演练到底有何不同呢?在此,笔者就来聊聊渗透测试的各种姿势.

一、渗透测试基本概念

根据百度百科的定义:渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制。搜狐网某网友分享的定义:渗透测试就是在取得客户授权的情况下,通过模拟黑客攻击来对客户的整个信息系统进行全面的漏洞查找、分析、利用,最后给出完整的渗透报告和问题解决方案。从这些定义看,渗透测试内涵其实还是非常宽泛的,没有限定具体的表现形式。因此,在具体实施过程中,甲方公司根据各自的企业情况(如风险容忍程度、CTO/CSO个人喜好、预算投入、财务制度等)进行灵活的协商,形成了适应企业实际情况的渗透测试模式,可以说,在一千个企业里,就存在着一千种渗透测试模式。

二、渗透测试的各种姿势

不过,从笔者观察来看,这些不同的渗透测试模式,大致可以分为以下五种:上线前的渗透测试、上线后定期在线安全测试、依托众测平台的安全众测、自组织的安全众测、红蓝攻防演练。

(一)上线前渗透测试

这应该是各种企业安全测试的标配了,一般都是信息系统已经完成了联调联试,各项功能指标、技术指标已经达到了设计要求之后,在企业的测试环境中进行的一次渗透测试。从某种意义说,上线前的渗透测试就是一个安全的Checklist,一般关注技术性漏洞,利用各种工具检查系统存不存在xss、文件上传、越权访问、命令执行等漏洞。渗透测试结果一般直接转给业务系统开发人员,对企业内其他人员的安全意识传导作用比较薄弱。

目标系统:单个业务系统的测试环境系统

涉及人员:业务系统开发人员、组织测试的安全人员

风险程度:最小,测试环境实施,不会影响业务。

发现问题的影响面:单个系统

乙方厂商组织形式:一般会采用购买人力包或项目包的方式实施,购买一至两家安全厂商的服务,在此推荐至少购买两家,形成竞争格局。

局限性:难以实现测试面全覆盖、不能发现因上线过程中配置失误导致的安全漏洞。

(二)上线后定期在线安全测试

因为上线前的渗透测试不能发现因上线过程中配置失误导致的安全漏洞,所以,有些企业就会采用上线后定期在线安全测试的形式,比如,每季度、每个重大活动之前等。根据实际情况,在线安全测试的目标可以选择专门针对某一系统或几个系统,也可以选择全量的在线业务系统。安全测试不仅是从技术角度正面进攻检测漏洞,还会通过端口扫描、资产发现、管理后台扫描等手段,发现因配置失误导致的安全漏洞。

目标系统:一个或多个生产环境系统

涉及人员:业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员

风险程度:存在一定风险,一是有些高危操作可能会给企业生产数据造成脏数据的风险;二是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。

发现问题的影响面:单个系统

乙方厂商组织形式:一般会采用购买人力包或项目包的方式实施,购买一至两家安全厂商的服务,在此推荐至少购买两家,形成竞争格局。

局限性:难以实现测试面全覆盖。

(三)依托众测平台的安全众测

随着各企业互联网应用不断增多,传统的安全渗透测试也面临着测试人手不足、产品版本更迭太快来不及测试等问题。甲方厂商发现无论是代码安全测试、上线前渗透测试,还是上线后定期安全测试,都无法完全及时发现企业全量的安全漏洞,各类安全漏洞平台还是会出现自己的安全漏洞。与其坐以待毙,还不如主动作为,于是乎,有些甲方厂商就开始与众测平台合作,通过协议委托众测平台发布专业测试项目,参与项目的白帽子需通过审核认证后才能报名参与众测项目,依托外部白帽子发现企业的安全漏洞。

目标系统:可以是一个或多个生产环境系统,也可以是待发布的测试环境系统。

涉及人员:业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员

风险程度:存在较高风险,一是白帽子的管理较为松散,背景调查、身份核验等难度较大。二是有些高危操作可能会给企业生产数据造成脏数据的风险;三是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。

发现问题的影响面:单个系统

乙方厂商组织形式:选择一家互联网安全众测平台作为安全众测服务商,由其组织白帽子参与项目众测,在白帽子之间形成竞争机制。与众测平台签订项目制,可以在众测平台在线公开发布众测项目,也可以依托众测平台通过线下组织众测项目。

局限性:难以发现高阶安全漏洞。

(四)企业自组织的安全众测

随着众测的发展,有些比较大的甲方厂商就开始存在不同的思路了。一是有些企业觉得与其到众测平台开众测项目收集企业安全漏洞,还不如我自己直接接收白帽子的安全漏洞,于是,各大互联网公司都开始建立各自的SRC安全应急响应中心,在其中提供专门的漏洞收集板块,供白帽子提交漏洞,为白帽子提供积分、礼品、现金等奖励。二是有些企业觉得众测平台较难管控安全风险,普通的渗透测试缺乏竞争机制,难以发现高阶安全漏洞。于是这些企业就开始组织厂商众测模式,选择四五家安全厂商同时开展安全测试,然后按漏洞效果付费,漏洞等级高,付费就高,等级低,付费就低。

目标系统:一个或多个生产环境系统。

涉及人员:业务系统开发人员、业务系统运维人员、组织测试的安全人员、安全监控人员

风险程度:存在较高风险,一是SRC模式中白帽子的管理较为松散,背景调查、身份核验等难度较大。二是有些高危操作可能会给企业生产数据造成脏数据的风险;三是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。

发现问题的影响面:厂商众测可能会发现影响面较大的安全漏洞

乙方厂商组织形式:选择多家(一般为2至5家)安全渗透测试公司,分别组织专业渗透人员参与项目众测,按漏洞效果付费,在多家公司之间形成竞争机制,择优淘劣。

局限性:安全漏洞数量不可控,企业投入可能较大,乙方的服务不能持续实施,一般以项目制形式,预算花完就停止服务。

(五)红蓝攻防演练

以上说的渗透测试都相当于单项打靶射击考核,一次专项性的能力测验,以发现技术漏洞的目的为主。而红蓝攻防演练考验的是企业的整体防护水平和防护体系,如全体人员安全意识、防护系统检测发现能力、目标系统漏洞情况等,既考验了防护系统的有效性,又全面检查系统各类漏洞情况,还考验人员的安全意识。

因此,红蓝攻防演练一般是针对企业的全部信息系统、分支机构,不设具体目标、不限具体手段,全面检验企业的主动防护、安全检测、应急处置等能力,发现系统技术漏洞反而是附属性的。在攻防演练过程中,一,攻击者会利用社工、边边角角系统等进行迂回包抄,直到达到入侵系统的目的为止。任何一点疏漏都可能导致整体防护体系的溃败。攻防演练考验的是企业的总体防护水平。二,攻防演练不仅能发现技术性漏洞,还能发现企业安全管理上的漏洞、防护体系上的漏洞、防护策略上的漏洞等。三、攻防演练的对象企业全体资产、人员、数据等,因此,任何一个人、系统都可能成为企业安全防护体系中的短板。最后在演练总结通报中,加以总结提炼,传达到企业全员,可以达到提升全员安全意识的目的。在集中攻防演练期间,企业安全人员作为防守方,充分参与攻防过程,可以有效提升防护人员的技术水平。

目标系统:企业全体资产、人员、数据、系统。

涉及人员:企业全体人员

风险程度:存在较高风险,一是有些高危操作可能会给企业生产数据造成脏数据的风险;二是有些渗透测试人员发现漏洞不报告,私自下载企业业务数据。

发现问题的影响面:能够全面发现企业安全体系的漏洞

乙方厂商组织形式:选择多家(一般为2至5家)安全渗透测试公司,分别组织专业渗透人员参与红蓝攻防演练,按漏洞效果付费,在多家公司之间形成竞争机制,择优淘劣。

局限性:安全漏洞数量不可控,企业投入可能较大,乙方的服务不能持续实施,一般以项目制形式,预算花完就停止服务。

三、渗透测试服务的选购建议

综上所述,甲方企业在进行年度的安全渗透服务预算时,可以适当考虑多层次的安全渗透测试服务,以达到尽可能多的发现安全漏洞目的。

首先,上线前渗透测试和上线后定期安全测试应该是企业安全渗透测试服务的标准选择。有些企业可能害怕渗透测试影响业务运行,而只选择上线前渗透测试。但是,殊不知有些系统上线过程中产生漏洞危害也是巨大的,更有甚者,有些系统上线前根本就没有经过安全渗透测试或者阶段变更没有经过安全渗透测试,这些都会导致渗透测试在流程上、机制上存在覆盖盲点。

其次,安全众测可以适当考虑投入预算,毕竟渗透测试领域的“人民战争”、“群众路线”威力还是不可小觑的。预算少的中小企业可以在众测平台上开个众测项目,预算多的大企业可以考虑建设自己的SRC服务,或者自己组织进行厂商众测。有些人认为我们是很低调的公司,有没有必要开个众测项目来引起外部白帽子的注意力。在此,我想说的是,无论你低调不低调,漏洞总在那里,不主动去发现它、修复它,它始终在那里,与其被动挨打,不如主动出击。

最后,大企业在进行安全渗透测试服务预算规划和年度计划时,应尽量能安排一些攻防演练经费,红蓝攻防演练给企业安全建设带来的好处只有亲身经历才能体会其中真味。一是,每年固定一至俩个时间点(上、下半年各一次),发布攻防演练通告,集中开展攻防演练工作(集中时间点)。二、一般企业可组织外部安全团队进行攻防演练,防护方由企业内部人员担当,攻击者由外部企业组织。大厂一般都开始建立专门的安全渗透团队,号称企业蓝军,经常性开展攻防演练工作。三、渗透测试可适当形成夺标奖励机制,要以企业的攻击成果论英雄、给经费,不要让外部企业感觉干多干少一个样,有没有效果一个样。

【NISP-PTE90天渗透测试工程师就业培训班,2020年2月17日正式开班。

结业颁发NISP三级证书,推荐就业,学习期间优秀学员可有偿参与渗透实战项目,增加项目经验,边学习边赚钱。

培训地址:北京海淀区紫竹院路98号化工大学西校区教学楼5层。

报名联系人闫老师:13520961307/nisptest(电话/微信)

【NISP-PTE渗透测试】聊一聊安全测试的各种姿势
今年以来,红蓝攻防演练在企业安全服务市场变得非常火热,特别是在演习行动推动下,很多企业都会在实际演习行动之前都会进行一两轮、甚至三四轮的攻防演练,以提前发现企业安全体系建设中的短板与弱项。
长按图片保存/分享
0
文章推荐

 

网安世纪科技有限公司-国家信息安全水平考试(NISP)管理中心 © 2001-2020  ICP备案号:京ICP备18045154号-6

网站地图

全部课程

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了
京ICP备18045154号-6