由于信息和技术领域的快速发展,渗透测试的成功故事相对来说是短暂的.由于需要对系统提供更多保护,所以通常需要执行渗透测试,以便将攻击成功的可能性降低到公司所理解的水平.
关注渗透测试的主要限制是:
时间限制 : 正如我们所有人都知道的那样,渗透测试并非始终受到限制;尽管如此,渗透测试专家已为每次测试分配了固定的时间.另一方面,攻击者没有时间限制,他们计划在一周,一个月甚至几年.
范围的限制 : 许多组织都没有测试所有内容,因为它们有自己的局限性,包括资源限制,安全限制,预算限制等.同样,测试人员的范围有限,他不得不留下可能更容易受到攻击的系统的许多部分.并且可以成为攻击者的完美利基.
访问限制 : 更常见的是,测试人员限制了对目标环境的访问.例如,如果一家公司已经从其所有互联网网络对其DMZ系统进行了渗透测试,但如果攻击者通过正常的互联网网关进行攻击会怎么样.
方法的限制 : 目标系统有可能在渗透测试期间崩溃,因此一些特定的攻击方法很可能会被专业的渗透测试员关闭.例如,产生拒绝服务洪水以使系统或网络管理员偏离另一种攻击方法,这通常是一个真正坏人的理想策略,但它可能超出了大多数专业渗透测试人员的参与规则.
渗透测试员技能组的限制 : 通常,专业渗透测试人员受到限制,因为他们的技能有限,无论他们的专业知识和过去的经验如何.他们中的大多数专注于特定技术并且对其他领域缺乏了解.
已知漏洞的限制 : 许多测试人员只知道那些公开的漏洞.事实上,他们的想象力并不像攻击者那样发达.攻击者通常认为超出了测试人员的想法并发现了攻击的缺陷.
实验的限制 : 大多数测试人员都有时间限制,并遵循他们的组织或老年人已经给出的指示.他们不会尝试新事物.他们不会超出给定的指示.另一方面,攻击者可以自由思考,试验并创建一些新的攻击途径.
此外,渗透测试既不能取代常规的IT安全测试,也不能取代一般的安全策略,而是渗透测试补充既定的审查程序并发现新的威胁.
