渗透测试 - 局限性
由于信息和技术领域的发展速度很快,渗透测试的成功故事相对短暂。由于需要对系统进行更多保护,因此您需要更频繁地进行渗透测试,以将成功攻击的可能性降低到公司所认可的水平。
以下是渗透测试的主要局限性 −
时间限制 − 众所周知,渗透测试并非总是有时间限制的练习;尽管如此,渗透测试专家还是为每次测试分配了固定的时间。另一方面,攻击者没有时间限制,他们计划在一周、一个月甚至几年内进行。
范围限制 −许多组织不会测试所有内容,因为它们自身存在局限性,包括资源限制、安全限制、预算限制等。同样,测试人员的范围有限,他必须留下系统中许多可能更容易受到攻击的部分,这些部分可能成为攻击者的完美目标。
访问限制 − 测试人员通常限制对目标环境的访问。例如,如果一家公司已经从其整个互联网网络对其 DMZ 系统进行了渗透测试,但如果攻击者通过正常的互联网网关进行攻击会怎样呢?
方法限制 − 目标系统有可能在渗透测试期间崩溃,因此专业渗透测试人员可能会拒绝某些特定的攻击方法。例如,通过发起拒绝服务洪水攻击来转移系统或网络管理员的注意力,避免他们使用其他攻击方法,这通常是坏人的理想策略,但对于大多数专业渗透测试人员来说,这可能不符合交战规则。
渗透测试人员技能的限制 − 通常,专业渗透测试人员的能力有限,因为他们的技能有限,与专业知识和过去的经验无关。他们中的大多数人专注于某一特定技术,对其他领域知之甚少。
已知漏洞的限制 − 许多测试人员只知道那些公开的漏洞。事实上,他们的想象力不如攻击者发达。攻击者通常会思考测试人员无法思考的问题,并发现攻击的漏洞。
实验的限制 −大多数测试人员都有时间限制,并遵循组织或上级已经给他们的指示。他们不会尝试新事物。他们不会超越给定的指示去思考。另一方面,攻击者可以自由思考、实验并创造一些新的攻击路径。
此外,渗透测试既不能取代常规的IT安全测试,也不能取代一般的安全策略,而是渗透测试补充了既定的审查程序并发现新的威胁。