為甚麼企業尋找外判公司會比較好?
員工中缺少安全專家,或者你會從外部的公司中選擇一家網絡外判公司。事關在內部培訓網絡安全人員價錢昂貴,也過於費時,並不是一個理想的選擇。這一技能還要隨著時間不斷提升,所以依賴外部合作夥伴是唯一選擇,網絡安全外判公司測試服務時應主要考慮以下幾方面:
1. 瞭解組織的應用攻擊面
2. 解決預算問題
3. 瞭解深入的測試分析
4. 決定分析的頻率
應用攻擊表面
首先,瞭解需要測試的範圍很重要。有些問題你必需網絡安全測試人員回答,例如有多少應用程式或系統需要測試,誰負責培訓他們?項目經理也應該做好準備回答有關風險等問題。這些問題包括:哪些應用程式管理最敏感的資料,哪些負責最有價值的操作,以及哪些代表著最大的風險?這些等級將有助於優化測試活動。回答不了這些問題,那決策即使制定後,也可能只會濫用資源。
預算
在測試專案上嚴格控制預算。尤其是沒有內部開發的小企業中,預算可能是一個最重要的問題。預算能幫助網絡安全外判公司進行評估,尤其是在決定採用深度測試分析時。
深度分析
所有的評估和測試活動都不一樣的。當評估網絡安全外判公司測試服務時,瞭解具體將要進行哪類測試是很重要。這決定了評估所提供的安全級別。
Static test是在空閒時查代碼或二進位檔的。Active test是檢查正在運行的系統,並執行測試來決定的,這測試決定現時漏洞顯示方式。如Static test和Active test這樣的自動分析,只依靠工具來把代碼或請求與回應配對匹配。
自動分析相對較便宜,但也存在一定的局限。例如,自動化測試只能識別出一些特定類型的漏洞,對於依賴在業務環境的漏洞有哪些,系統卻無能為力了。除了因為自動分析的局限性會引入漏報率外,自動化網絡安全測試常常識別出誤報,這時分析會查出漏洞,而漏洞實際是還沒有被利用的。
手動分析比較昂貴,因為它依賴網絡安全人員來執行測試。這提高了漏洞類型可識別的概率,所以手動測試過濾中出錯是正常的。然而,複雜的手動測試成本可能會成為阻礙,即使對於有著大量資源的組織來說也是一項負擔。
分析頻率
安全前景一直在變化,而最重要的應用程式通常屬於主動開發型。安全測試並不是一次性的行為。
使用外部的測試服務對於中型企業和小企業都是最常見的策略,只要他們需要引入安全測試功能和技能。但是,確保這些機構能完全理解使用什麼來測試並將會按甚麼預期情況來執行是很重要的。另外,了解組織的攻擊層面和應用風險級別有助於確保測試預測的分配最佳化。