Home-theater-designers
컴퓨터 시스템의 취약성은 침입자가 이를 발견하고 악용할 때까지 반드시 문제가 되는 것은 아닙니다. 위협 행위자보다 먼저 허점을 식별하는 문화를 조성하면 허점을 해결할 수 있으므로 심각한 해를 끼치지 않습니다. 이것은 침투 테스트가 제공하는 기회입니다.
오늘의 메이크업 비디오 콘텐츠를 계속하려면 스크롤하세요.
그러나 보안을 개선하기 위한 조치를 취하는 데 방해가 될 수 있는 침투 테스트와 관련된 몇 가지 잘못된 믿음이 있습니다.
uber 또는 lyft가 더 싼 것은 무엇입니까
1. 침투 테스트는 조직에만 해당됩니다.
침투 테스트는 개인이 아닌 조직을 위한 활동이라는 개념이 있습니다. 침투 테스트의 목표를 이해하는 것이 이를 명확히 하는 데 중요합니다. 테스트의 최종 게임은 데이터를 확보하는 것입니다. 중요한 데이터를 보유한 조직은 조직만이 아닙니다. 일상적인 사람들은 은행 정보, 신용 카드 세부 정보, 의료 기록 등과 같은 민감한 데이터도 가지고 있습니다.
개인으로서 시스템이나 계정의 취약점을 식별하지 않으면 위협 행위자가 이를 악용하여 데이터에 액세스하고 이를 악용합니다. 그들은 당신에 대한 액세스를 복원하기 전에 일시금을 지불하도록 요구하는 랜섬웨어 공격의 미끼로 사용할 수 있습니다.
2. 침투 테스트는 엄밀히 말하면 선제적 조치입니다.
침입자보다 먼저 시스템에서 위협을 발견한다는 아이디어는 침투 테스트가 선제적인 보안 조치 , 하지만 항상 그런 것은 아닙니다. 특히 사이버 공격을 조사할 때 때때로 반응할 수 있습니다.
공격 후에 침투 테스트를 수행하여 공격의 특성에 대한 통찰력을 얻어 적절하게 대처할 수 있습니다. 인시던트가 어떻게 발생했는지, 배포된 기술 및 대상 데이터를 발견하면 간격을 좁혀 다시 발생하지 않도록 방지할 수 있습니다.
3. 침투 테스트는 취약점 검색의 또 다른 이름입니다.
모의 침투 테스트와 취약성 검색은 모두 위협 벡터를 식별하는 것이므로 사람들은 종종 두 가지를 동일하다고 생각하여 상호 교환적으로 사용합니다.
취약점 검색은 자동화된 프로세스입니다. 시스템의 확립된 취약점 식별 . 가능한 결함을 나열하고 시스템을 스캔하여 결함이 존재하고 시스템에 미치는 영향을 확인합니다. 반면에 침투 테스트는 사이버 범죄자가 취약한 링크를 식별하기를 바라는 것과 같은 방식으로 전체 시스템에 걸쳐 공격 네트워크를 캐스팅하는 것입니다. 취약성 검색과 달리 주의해야 할 미리 결정된 위협 목록이 없지만 가능한 모든 것을 시도합니다.
4. 침투 테스트는 완전히 자동화될 수 있습니다.
침투 테스트 자동화는 이론적으로는 좋아 보이지만 실제로는 무리입니다. 침투 테스트를 자동화하면 취약성 검색을 수행합니다. 시스템에 문제를 해결할 능력이 없을 수 있습니다.
침투 테스트에는 사람의 입력이 필요합니다. 표면에 위협이 존재하지 않는 것처럼 보이더라도 위협을 식별할 수 있는 가능한 방법을 브레인스토밍해야 합니다. 해커처럼 네트워크의 가장 안전한 영역에 침입하기 위해 사용 가능한 모든 기술을 사용하여 윤리적 해킹에 대한 지식을 테스트해야 합니다. 그리고 취약점을 식별하면 더 이상 존재하지 않도록 해결 방법을 찾습니다.
5. 침투 테스트는 너무 비싸다
침투 테스트를 수행하려면 인적 자원과 기술 자원이 모두 필요합니다. 테스트를 수행하는 사람은 매우 숙련되어야 하며 그러한 기술은 저렴하지 않습니다. 그들은 또한 필요한 도구를 가지고 있어야 합니다. 이러한 리소스에 쉽게 액세스할 수는 없지만 위협을 방지하는 데 가치가 있습니다.
침투 테스트에 투자하는 비용은 사이버 공격으로 인한 금전적 피해에 비하면 아무것도 아닙니다. 일부 데이터 세트는 귀중합니다. 위협 행위자가 이를 폭로하면 그 영향은 금전적 측정을 넘어섭니다. 그들은 구속을 넘어 당신의 평판을 망칠 수 있습니다.
해커가 공격 중에 돈을 갈취하려는 경우 일반적으로 침투 테스트 예산보다 높은 금액을 요구합니다.
6. 침투 테스트는 외부인만 수행할 수 있습니다.
침투 테스트는 내부 당사자보다 외부 당사자가 수행할 때 가장 효과적이라는 오랜 통념이 있습니다. 외부 인력은 시스템과 아무런 관련이 없기 때문에 더 객관적이기 때문입니다.
객관성이 테스트 유효성의 핵심이지만 시스템과 제휴한다고 해서 정확히 하나가 객관적이지 않은 것은 아닙니다. 침투 테스트는 표준 절차와 성능 메트릭으로 구성됩니다. 테스터가 지침을 따르면 결과는 유효합니다.
컴퓨터 케이스에서 어떤 장치가 와트를 가장 적게 사용합니까?
더욱이 시스템에 익숙해지면 시스템을 더 잘 탐색하는 데 도움이 되는 부족 지식을 얻을 수 있으므로 이점이 될 수 있습니다. 강조점은 외부 또는 내부 테스터를 확보하는 것이 아니라 훌륭한 작업을 수행할 수 있는 기술이 있는 사람에게 있어야 합니다.
7. 가끔 침투 테스트를 수행해야 합니다.
어떤 사람들은 테스트의 영향이 장기적이라고 믿기 때문에 가끔 침투 테스트를 수행합니다. 이는 사이버 공간의 변동성을 고려할 때 비생산적입니다.
사이버 범죄자들은 24시간 내내 시스템에서 탐색할 취약점을 찾기 위해 노력하고 있습니다. 침투 테스트 사이의 간격이 길면 사용자가 알지 못하는 새로운 허점을 탐색할 수 있는 충분한 시간을 확보할 수 있습니다.
격일로 침투 테스트를 수행할 필요가 없습니다. 올바른 균형은 몇 달 안에 정기적으로 하는 것입니다. 이는 위협 벡터를 적극적으로 찾지 않는 경우에도 위협 벡터에 대해 알리기 위해 지상에 다른 보안 방어 장치가 있는 경우에 특히 적합합니다.
8. 침투 테스트는 기술적 취약점을 찾는 것입니다.
침투 테스트가 시스템의 기술적 취약성에 초점을 맞춘다는 오해가 있습니다. 침입자가 시스템에 액세스하는 엔드포인트는 기술적이지만 일부 비기술적 요소도 있기 때문에 이는 이해할 수 있습니다.
예를 들어 사회 공학을 생각해 보십시오. 사이버 범죄자는 사회 공학 기술을 사용 로그인 자격 증명 및 계정 또는 시스템에 대한 기타 민감한 정보를 공개하도록 유인합니다. 철저한 침투 테스트는 비기술적 영역도 탐색하여 피해자가 될 가능성을 판단합니다.
9. 모든 침투 테스트는 동일합니다.
사람들은 특히 비용을 고려할 때 모든 침투 테스트가 동일하다고 결론을 내리는 경향이 있습니다. 단지 비용을 절약하기 위해 더 저렴한 테스트 제공업체를 선택하기로 결정할 수 있으며, 그들의 서비스가 더 비싼 서비스만큼 좋다는 믿음이 있지만, 그것은 사실이 아닙니다.
대부분의 서비스와 마찬가지로 침투 테스트도 정도가 다릅니다. 네트워크의 모든 영역을 포괄하는 광범위한 테스트와 네트워크의 일부 영역을 캡처하는 비광범위한 테스트를 가질 수 있습니다. 비용이 아닌 테스트에서 얻는 가치에 초점을 맞추는 것이 가장 좋습니다.
10. 깨끗한 테스트는 모든 것이 정상임을 의미합니다.
테스트에서 깨끗한 테스트 결과를 얻는 것은 좋은 징조이지만 그렇다고 해서 사이버 보안에 안주해서는 안 됩니다. 시스템이 작동하는 한 새로운 위협에 취약합니다. 어쨌든 깨끗한 결과는 보안을 두 배로 늘리도록 동기를 부여해야 합니다. 정기적으로 침투 테스트를 수행하여 새로운 위협을 해결하고 위협 없는 시스템을 유지하십시오.
침투 테스트를 통해 완벽한 네트워크 가시성 확보
침투 테스트는 네트워크에 대한 고유한 통찰력을 제공합니다. 네트워크 소유자 또는 관리자는 침입자가 네트워크를 보는 방식과 다르게 네트워크를 보기 때문에 그들이 접근할 수 있는 일부 정보를 놓치게 됩니다. 그러나 테스트를 통해 해커의 렌즈에서 네트워크를 볼 수 있으므로 일반적으로 사각지대에 있는 위협 벡터를 포함하여 모든 측면을 완벽하게 볼 수 있습니다.