用户投稿企业通常会进行渗透测试,以验证现有的安全和隐私控制,并通过发现漏洞和利用漏洞,彻底记录测试期间执行的所有活动以及提供可操作的结果以及有关可能的补救措施的信息来增强对系统的了解。有关详细信息,请参阅NIST SP 800-53A中的附录E:渗透测试。
-什么是风险?
不确定性:可能性分析(Uncertainty: Likelihood Analysis)
在渗透测试中,可能性分析是必需的,也是至关重要的。根据NIST SP 800-53A,有效的渗透测试会根据团队在渗透系统方面的努力程度,得出表明攻击者做出妥协的可能性的结果,以此作为系统渗透阻力的指标。
效果:影响分析(Effect: Impact Analysis)
业务影响分析不是强制性的,甚至是不可行的。组织对业务价值和业务影响分析更感兴趣。作为外部人员,外部安全团队很难分析业务影响并评估风险敞口。即使它可以根据技术影响评估漏洞利用的风险,您的组织也必须自行评估业务影响,并且可能不希望或担心外部安全团队可以提交带有估计风险暴露的报告。
风险暴露值(Risk Exposure)
风险暴露值通常被定义为风险的不确定性和影响的乘积,即期望值或预期敞口。
参考
.NIST SP 800-53A
.交战规则
.Microsoft Cloud参与度的渗透测试规则
.5笔测试的参与规则:执行渗透测试时应考虑的事项
.为什么交战规则对我的渗透测试很重要?
资料来源: Wentz Wu QOTD-20210131
微信扫一扫打赏
支付宝扫一扫打赏
