黑客入门该知道的安全测试各种姿势( 三 ) _安全测试

在集中攻防演练期间，企业安全人员作为防守方，充分参与攻防过程，可以有效提升防护人员的技术水平。

目标系统：企业全体资产、人员、数据、系统。
涉及人员：企业全体人员
风险程度：存在较高风险，一是有些高危操作可能会给企业生产数据造成脏数据的风险；二是有些渗透测试人员发现漏洞不报告，私自下载企业业务数据。
发现问题的影响面：能够全面发现企业安全体系的漏洞
乙方厂商组织形式：选择多家（一般为2至5家）安全渗透测试公司，分别组织专业渗透人员参与红蓝攻防演练，按漏洞效果付费，在多家公司之间形成竞争机制，择优淘劣。
局限性：安全漏洞数量不可控，企业投入可能较大，乙方的服务不能持续实施，一般以项目制形式，预算花完就停止服务。

三.渗透测试服务的选购建议
综上所述，甲方企业在进行年度的安全渗透服务预算时，可以适当考虑多层次的安全渗透测试服务，以达到尽可能多的发现安全漏洞目的。

首先，上线前渗透测试和上线后定期安全测试应该是企业安全渗透测试服务的标准选择。
有些企业可能害怕渗透测试影响业务运行，而只选择上线前渗透测试。
但是，殊不知有些系统上线过程中产生漏洞危害也是巨大的，更有甚者，有些系统上线前根本就没有经过安全渗透测试或者阶段变更没有经过安全渗透测试，这些都会导致渗透测试在流程上、机制上存在覆盖盲点。

其次，安全众测可以适当考虑投入预算，毕竟渗透测试领域的“人民战争”、“群众路线”威力还是不可小觑的。
预算少的中小企业可以在众测平台上开个众测项目，预算多的大企业可以考虑建设自己的SRC服务，或者自己组织进行厂商众测。
有些人认为我们是很低调的公司，有没有必要开个众测项目来引起外部白帽子的注意力。
在此，我想说的是，无论你低调不低调，漏洞总在那里，不主动去发现它、修复它，它始终在那里，与其被动挨打，不如主动出击。

最后，大企业在进行安全渗透测试服务预算规划和年度计划时，应尽量能安排一些攻防演练经费，红蓝攻防演练给企业安全建设带来的好处只有亲身经历才能体会其中真味。

一、每年固定一至俩个时间点（上、下半年各一次），发布攻防演练通告，集中开展攻防演练工作（集中时间点）。

二、一般企业可组织外部安全团队进行攻防演练，防护方由企业内部人员担当，攻击者由外部企业组织。大厂一般都开始建立专门的安全渗透团队，号称企业蓝军，经常性开展攻防演练工作。

三、渗透测试可适当形成夺标奖励机制，要以企业的攻击成果论英雄、给经费，不要让外部企业感觉干多干少一个样，有没有效果一个样。

本文作者：shengl99，转载注明自FreeBuf.COM