领到一份厚度可观的渗透测试报告, 好多人的首个反应是犯愁。技术术语密密麻麻, 致使人们搞不清漏洞究竟危不危险。实际上, 这份报告的关键价值并非在于罗列了数目多少的CVE编号, 而是在于它怎样指引你修复风险。对于企业的IT负责人以及安全主管而言, 读懂报告比拥有报告更为重要。领会风险优先级是阅读报告的头一步, 别企图一次性修复所有问题, 那是不切实际的。
如何判断漏洞的修复优先级
‘风险评估’章节, 一般而言是报告里头最具关键性的部分。在此处, 会把漏洞划分成高危、 中危以及低危等类别。像比如SQL注入或者远程代码执行这类情况, 倘若存在该类高危 漏洞的话, 往往就表明系统面临遭到攻破的风险极大, 针对这类状况必须马上予以解决。那些中危漏洞, 有可能涉及到信息泄露或者权限绕过这两方面, 尽管并不会马上致使 系统陷入瘫痪状态, 不过如果时间太长积累起来的话, 就会形成相当大的安全隐患。而 低危的方面, 大多是配置出现错误或者信息展示过于超出正常范围, 这种类型的可以排 进日常维护的规划内容里头。
抛开等级划分不说, 得要联系业务场景来考量, 有些漏洞于测试环境里是存在的, 然而在实际生产环境当中, 鉴于网络隔离或者访问控制的缘故, 攻击者利用起来是相当困难的, 这个时候, 只好通过结合业务影响分析来对修复顺序予以调整, 要是某个高危漏洞仅仅影响内部非核心系统, 并且短期内并无外部访问需求, 那么能够适度往后延迟修复, 把资源汇聚于核心业务系统的防护一方面, 千万不要盲目地去追求“零漏洞”, 而是要一心追求“风险可控”。
报告中的关键数据与整改建议
一份符合标准的渗透测试报告, 不但得有论断, 还得有能够施行的整改举措。好多报告就只是告知你是哪一行代码现了问题, 然而并没有告知你应当怎样去修改。在这个时候, 你要留意报告附录里的“修复建议”部分。专业的提议将会给出详尽的代码范例、配置更改步骤, 甚至是推荐的第三方工具。要是报告缺少这些细节, 那就表明测试深度不足, 或者服务商的专业程度有待斟酌。
同样不可轻视的是复测环节 , 修复并不是结束 , 验证那才是尽头在整改告终以后 必定要和安全团队接洽进行回归测试 确认漏洞已然被彻底地剿灭 并且修复举措未曾引致任何新的安适隐忧 定期反复琢磨历史报告之内的常见问题 可以助力企业构建起长效的安全机制凭借比照各异时段的报告 你能够清清楚楚看清系统于 safety 所处标高之上的演变 从而优化全盘的安全投入策略 使得每一分数额的预算皆能有的放矢地运用。
艾策信息科技是具备正规软件测评资质的第三方软件检测机构,专业高效出具第三方软件测试报告。
热门跟贴