- 滲透測試教程
- 滲透測試 - 首頁
- 滲透測試 - 簡介
- 滲透測試 - 方法
- 測試與漏洞評估
- 滲透測試 - 型別
- 手動與自動化
- 滲透測試 - 工具
- 滲透測試 - 基礎設施
- 滲透測試 - 測試人員
- 滲透測試 - 報告編寫
- 滲透測試 - 倫理駭客
- 滲透測試與倫理駭客
- 滲透測試 - 限制
- 滲透測試 - 修復
- 滲透測試 - 法律問題
- 滲透測試資源
- 滲透測試 - 快速指南
- 滲透測試 - 資源
- 滲透測試 - 討論
滲透測試 - 限制
由於資訊和技術領域的飛速發展,滲透測試的成功案例相對短暫。隨著系統需要更多保護,為了將成功攻擊的可能性降低到公司可以接受的水平,您需要更頻繁地進行滲透測試。
以下是滲透測試的主要限制:
時間限制 − 眾所周知,滲透測試並非一項有時間限制的活動;然而,滲透測試專家會為每次測試分配固定的時間。另一方面,攻擊者沒有時間限制,他們可以計劃一週、一個月甚至數年。
範圍限制 − 許多組織由於自身限制,包括資源限制、安全限制、預算限制等,並不會測試所有內容。同樣,測試人員的範圍有限,他們必須忽略系統中許多可能更容易受到攻擊且可能成為攻擊者完美目標的部分。
訪問限制 − 測試人員通常對目標環境的訪問許可權有限。例如,如果一家公司對其整個網際網路網路的 DMZ 系統進行了滲透測試,但如果攻擊者透過正常的網際網路閘道器進行攻擊呢?
方法限制 − 滲透測試期間目標系統可能會崩潰,因此某些特定的攻擊方法可能會被專業滲透測試人員排除在外。例如,製造拒絕服務洪流來分散系統或網路管理員對另一種攻擊方法的注意力,這通常是壞人的理想策略,但對於大多數專業滲透測試人員來說,這很可能超出了參與規則。
滲透測試人員技能限制 − 通常,專業滲透測試人員的技能有限,無論他們的專業知識和過去經驗如何。他們大多數人專注於特定技術,對其他領域的知識很少。
已知漏洞的限制 − 許多測試人員只瞭解公開的漏洞。事實上,他們的想象力不如攻擊者發達。攻擊者通常比測試人員考慮得更遠,並發現可利用的漏洞進行攻擊。
實驗限制 − 大多數測試人員的時間有限,並且遵循組織或上級已經給他們的指示。他們不會嘗試新的東西。他們不會超越既定的指令思考。另一方面,攻擊者可以自由地思考、實驗和建立新的攻擊路徑。
此外,滲透測試既不能取代例行的 IT 安全測試,也不能替代通用的安全策略,而是補充既定的審查程式並發現新的威脅。