为什么你要进行渗透测试？无论是借助内部团队、外部专家还是结合两者，你是单单满足监管要求或审计要求？还是其实希望增强企业安全？

　　我们请教了渗透测试方面的几位专家，指导你如何改进计划，以便付出去的时间、金钱和努力取得最大成效。如果你求助于外部专家，他们给出的建议会让你明白对顾问应该有怎样的期望和要求。下面这10个秘诀表明你需要明白渗透测试的目的和重点，制定高效的测试策略，有效地利用你的人员，以及最有效地利用渗透测试的结果，以便补救问题、改进流程以及不断改善企业的安全状况。

　　第1个秘诀：确定目的。

　　渗透测试（其实所有信息安全活动）的目的是保护企业。说白了就是，你充当攻击者的角色，查找安全漏洞，并且钻漏洞的空子，从而查明企业面临的风险，并且根据测试结果，给出相应建议，以增强安全。攻击者在试图窃取你的数据——他们采用的技术只是达到目的的手段。渗透测试也是如此：目的倒不是说你利用很酷的技术活来钻漏洞的空子，而是发现企业在哪个环节面临最大的风险。

　　InGuardians公司的创始人兼高级安全顾问Ed Skoudis说：“要是你无法从我公司的角度来进行表述，那你无法给我带来价值。不要告诉我你钻了某个漏洞的空子，获得了某个硬件设备的外壳程序，却不告诉我这对我公司来说意味着什么。”

　　如果明白了这个道理，那么从更加战术性的角度来看，渗透测试是个好方法，可以确定你的安全政策、控制措施和技术的实际效果有多好。贵公司把许多钱投入到安全产品上，给系统打补丁，以及确保端点安全等方面。作为渗透测试人员，你是在模仿攻击者，试图绕过或突破安全控制。

　　Core Security公司的创始人兼安全咨询服务主管Alberto Solino说：“你是想对公司好好评估一番，看看钱有没有花在刀口上。”

　　目的不应该是仅仅为渗透测试弄一份复选框，罗列相关内容，以满足合规要求，比如支付卡行业的数据安全标准（PCI DSS）。渗透测试的目的应该不仅仅是查找漏洞（漏洞扫描应该是渗透测试计划的一部分，但代替不了渗透测试）。除非渗透测试是发现、利用和纠正安全漏洞的一项可持续计划的一部分，否则就算你投入了财力和精力，换来的充其量还是表示通过的那个勾号；最糟糕的情况是，通不过目光敏锐的评估人员的审计。

　　第2个秘诀：关注数据。

　　无论你在进行内部测试，聘请外部顾问，还是结合两者，企业用于渗透测试的预算和资源都很有限。你做不到针对包括成百上千个设备的IT基础设施进行渗透测试，不过渗透测试人员常常会被要求试着攻击一大段IP地址上的众多设备。结果进行的很可能是最草率的测试方法，几乎没有什么作用。你别指望能在合理的时间段里，以合理的成本，对数量非常多的设备进行漏洞扫描、补救漏洞。

　　Verizon安全解决方案公司的全球产品经理Omar Khawaja说：“在许多情况下，客户有成千上万个IP地址，希望我们对这么多地址进行渗透测试。我们可以运行漏洞测试，看看什么部分最脆弱，可是这对贵企业来说可能不是最重要的。”

　　退一步问一问：“我要保护的是什么？”哪些关键数据面临风险：是信用卡数据、病人信息、客户的个人身份信息、商业计划还是知识产权？这些信息在什么地方？你甚至知道含有敏感数据的每个数据库、每个文件存储库和每个日志存储区吗？你也许不知道，但攻击者很可能找得到。

　　所以，第一个关键的步骤是缩小渗透测试的范围，重点关注数据发现：确定哪些敏感数据面临风险，它们在哪里。接下来的任务是，扮演攻击者的角色，搞清楚如何找出漏洞。

　　Core Security公司的Solino说：“目的是模仿真正的攻击者在一定时间段内会对客户搞什么破坏，而不是找出所有可能存在的问题。”

　　第3个秘诀：与业务负责人交流。

　　要与业务部门的人合作。他们知道什么面临危险，知道哪些数据很关键、哪些应用程序在创建和联系这些数据。他们至少知道数据放在哪些比较明显的地方。他们还会告诉你哪些应用程序必须保持正常运行。

　　只有这样，你才会基本上了解与某些应用程序有关的威胁级别，以及风险等式中很重要的数据和资产具有的价值。

　　这个过程的一个重要方面是，与懂得应用程序业务逻辑的人合作。知道应用程序本该做什么、本该如何运行，可以帮你找到应用程序的漏洞，并钻空子。

　　InGuardians公司的Skoudis说：“先确定范围，包括关键的信息资产和业务交易处理。然后与渗透测试团队和管理人员开头脑风暴会。”

　　Skoudis还建议要求管理人员提出最坏情况的场景，“要是有人闯入了企业，可能发生的最糟糕事情是什么？”这种演练有助于查明“真正的宝贵数据”在哪里，从而确定项目范围。