保证企业网络安全必需渗透测试吗？

　　问：在企业网络安全策略中，渗透测试的重要性有多大？

　　答：渗透测试可以提供安全防御的有价值的信息，但是成本很高。为了渗透测试的可信性，通常必须要有独立的外部公司进行。如果使用内部人员和测试揭开漏洞，你可能会听到这样的批评，测试人员一定在攻击中利用了他们的内部信息和架构的指示来扩大安全预算。另一方面，如果测试表明状况良好，你可能会受到测试不够彻底的批评。如果有的话，这就一定是第二十二条军规。

　　由于渗透测试的高成本，我通常推荐成熟的安全项目才能考虑使用。如果你正在构建安全架构，缺少几个主要的部分，那么首先就把预算花在这里吧。否则，渗透测试就只能揭示已经知道的漏洞。另一方面，如果采用了渗透测试来评估全面执行的架构，你可能会获得潜在漏洞有价值的信息。

　　--------------------------------------------------------------------------------------------------------------------------------

　　威胁建模对企业有帮助吗？

　　问：威胁建模是有用的防御机制吗？真的可以和黑客一样思考吗？

　　答：目前，威胁建模对安全专家来说是一种难以置信的有用的工具。进行威胁建模的训练，可以遵循一下的步骤。

　　首先，广泛考虑企业中最有价值的信息资产、重要的计算机资源以及他们的位置。

　　下一步，讨论一下细节，谁可能攻击你的企业，为什么。这些就是威胁。网络罪犯会攻击你吗？单一民族国家会吗？内部威胁呢？不要忘了考虑安装在环境内部的飘忽不定的蠕虫。目前的威胁不是全部都是人为的。

　　第三，基于你的威胁清单，开始考虑他们如何攻击你。最简单的方法是什么？取得详细的信息，不要马上列出你的同事也可以想到的各种怪异的想法。当威胁和漏洞重叠的时候，风险就出现了。

　　最后，考虑你已经采取的应对这些风险的对策。你的防御可以阻止你阐明的情景中的攻击吗如果不能，你可以在最低程度上快速删除不当之处并立即作出回应吗？

　　当然，你不能使用恶意人士和恶意软件攻击你的所有方法。攻击者都是创造性的，并在不断革新。还有一句老生常谈：你不能总是和攻击者想到的一样，但是你可以有时和他们想的存在某些相同之处。因此，确保你最少可以防御你的团队考虑到的最常见和破坏最大的攻击。不采用这些基本的威胁建模，你可能会受到可预测的、很明显的攻击，而这些攻击原本应该可以防御的。

　　OWASP（Open Web Application Security Project）的团队已经总结了各种威胁建模方法大纲，这是从微软自己的程序中获得的灵感。这份摘要描述了确定去也最大威胁和相关风险的不同方法。很多公司也正在开发自动威胁建模软件，包括Skybox Security。

　　--------------------------------------------------------------------------------------------------------------------------------

　　如何选择渗透测试人员

　　问：选择渗透测试员有什么标准？

　　答：渗透测试的目标不仅是要评估电脑系统或者网络的安全性，还要决定成功攻击的可行性和商业影响。这样的测试模仿企图利用你的企业系统中的潜在的漏洞的攻击者。发现的任何安全问题随后都要报告，一起报告的还有对他们可能产生的影响的评估。建议还要指出如果减轻这些问题。通常这些测试都是在系统或者应用使用之前进行的。然后测试会定期进行。

　　在选择渗透测试员之前，需要正确地确定你想要测试哪些系统。例如，测试Unix系统的专家可能不是测试Windows系统的专家。一旦决定了要测试的系统，就向其他公司的同事询问做过类似工作的人的资料。相比较渗透测试证书而言，我更喜欢这种方法，因为在这个领域还没有真正的行业标准。

　　我也不会总是关注著名的咨询人员。这些咨询人员通常都是通才，而渗透测试是专业工作。不管你会用谁，都要保证当签订合同时，来的人不是生手。

　　还应该了解渗透潜在的测试人员喜欢使用的方法。执行渗透测试的最好方法是进行一系列系统的可以重复的测试，可以对很多不同种类的漏洞进行测试，避免使用效率较低的分散的方式。但是还是要谨慎对待检查清单的方法，并且不能过度依赖自动化工具。这种类型的结果更像是漏洞扫描而不是全面的渗透测试。渗透测试并不是精密科学，所以测试人员要在探究关注的领域时非常灵活，并对最新的阻力进行追踪。这样，测试就可以关注你的环境中的攻击携带者。