從成本和安全專業(yè)技術(shù)角度來看，選擇企業(yè)內(nèi)部滲透測試比外部顧問更值得考慮，但這并不是簡單的工作。

“擁有內(nèi)部滲透測試人員的好處在于他們非常專注，”安全公司Lares咨詢公司創(chuàng)始人Chris Nickerson表示，“他們能夠追蹤最新的攻擊方式和漏洞，不間斷監(jiān)測系統(tǒng)，以及實(shí)踐和提高自己的技能，但是為了實(shí)現(xiàn)這些目的，他們必須專注?！?/P>

Nickerson指出，大公司有資本成立完全致力于測試的團(tuán)隊(duì)，而對于大多數(shù)公司而言，滲透測試只是測試人員的部分職責(zé)?！皾B透測試延遲或者取消的現(xiàn)象是司空見慣的，因?yàn)闇y試人員有太多其他的工作要處理?！?/P>

雖然兼職滲透測試專家也可以幫助進(jìn)行滲透測試，但這樣做是很冒險(xiǎn)的。“現(xiàn)在有非常多各種各樣的滲透測試工具，這些工具也都非常不錯(cuò)，”他表示，“Metasploit、 Canvas、Core、Nessus等漏洞檢測工具供應(yīng)商花了很長時(shí)間來確保安裝他們的工具不會(huì)影響正在進(jìn)行的測試，這是默認(rèn)的：只要安裝了這些工具，確定了漏洞利用是否可行，工具將被卸載?！?/P>

問題是，這些工具還提供高級別的調(diào)整和定制，那些經(jīng)驗(yàn)不足的操作人員將會(huì)導(dǎo)致問題?！斑@些工具本身并不危險(xiǎn)，但是當(dāng)缺乏經(jīng)驗(yàn)的測試人員操作和調(diào)控這些工具時(shí)，就有可能帶來風(fēng)險(xiǎn)?！?/P>

Secure Network Technologies 公司副總裁Steve Stasiukonis也贊同，“重要服務(wù)器受到影響的話，可能帶來各種問題。當(dāng)你在測試最敏感的系統(tǒng)時(shí)，即使是telnet也要格外小心地運(yùn)行?！?/P>

從這里我們可以看到經(jīng)驗(yàn)以及專業(yè)知識(shí)的重要性，而市場上的測試產(chǎn)品都不包含這些，企業(yè)必須逐漸積累經(jīng)驗(yàn)和專業(yè)知識(shí)，因?yàn)闆]有捷徑可尋。

最好將內(nèi)部滲透測試分階段進(jìn)行，Nickerson表示，“最重要的業(yè)務(wù)系統(tǒng)必須由最有經(jīng)驗(yàn)的測試員進(jìn)行測試，不管是內(nèi)部測試員還是外部顧問?！?/P>

最富經(jīng)驗(yàn)的專業(yè)內(nèi)部滲透測試人員能執(zhí)行公平的測試嗎?他們對于公司的熟悉度是否會(huì)影響他們像外部人員一樣公平地測試呢?“毫無疑問，”Stasiukonis表示，“而且，內(nèi)部測試人員可能對于公司的某些方面測試不到位，例如，嚴(yán)格的密碼政策就是內(nèi)部測試人員經(jīng)常忽視的地方，他們對于同事會(huì)放寬要求?！?/P>

更嚴(yán)重的問題就是，內(nèi)部測試人員可能會(huì)高估他們對公司的認(rèn)識(shí)，“內(nèi)部測試人員很容易會(huì)認(rèn)為他們知道公司及其系統(tǒng)的一切信息，尤其是較大型企業(yè)，他們測試他們所知的系統(tǒng)數(shù)量，而卻可能忽略了整個(gè)部門甚至整個(gè)網(wǎng)絡(luò)?！?/P>

公司的測試狀態(tài)也可能會(huì)影響測試結(jié)果，“滲透測試的目的在于檢測企業(yè)系統(tǒng)是否能夠有效防御現(xiàn)實(shí)世界威脅，”Nickerson表示，“不需要讓公司知道正在進(jìn)行的測試?！?/P>

他建議測試人員只通知那些必須知道測試（因?yàn)闃I(yè)務(wù)和運(yùn)營的重要原因）的人員。

內(nèi)部滲透測試最常被追捧的好處在于節(jié)省成本，但是這里有一些需要考慮的問題。Nickerson認(rèn)為，不能只從專注于滲透測試的內(nèi)部人員與外部滲透測試人員的成本比較的角度來考慮成本問題，還應(yīng)該考慮內(nèi)部投資的回報(bào)情況，投資的回報(bào)并不僅僅局限于測試本身以及專業(yè)測試人員帶來的安全利益。

擁有內(nèi)部滲透測試人員的主要好處之一是，測試人員能夠與企業(yè)員工溝通并說明滲透測試是安全重要組成部分以及為什么測試（無論內(nèi)部測試還是外包測試）勝過漏洞評估。

“自動(dòng)漏洞掃描生成的信息可能不是百分之百準(zhǔn)確的，可能不適用于企業(yè)的最重要程序，對于不精通技術(shù)的首席財(cái)務(wù)官或者其他執(zhí)行官毫無意義，”他表示，“這些信息并不能像滲透測試一樣提供有效的方法?！?/P>

經(jīng)驗(yàn)豐富的滲透測試人員可以向執(zhí)行人員展示為什么滲透測試是值得的投資。

例如，告訴他們公司系統(tǒng)的漏洞數(shù)量，郵件無法發(fā)送的原因等，“向首席財(cái)政官說明這些漏洞如何影響公司的總帳目，并影響公司的運(yùn)營，這樣他們就能夠明白問題，”Nickerson表示，“描繪出這些漏洞對現(xiàn)實(shí)世界影響的畫面，同時(shí)能夠增強(qiáng)企業(yè)的安全教育?！?/P>

Nickerson認(rèn)為，不斷變化和變異的威脅環(huán)境將會(huì)讓越來越多的公司考慮添加內(nèi)部滲透測試，“最重要的在于，給予測試者足夠的時(shí)間，讓他們?nèi)烤性跍y試上，并不斷學(xué)習(xí)技術(shù)和知識(shí)，”他表示，“企業(yè)應(yīng)該全面權(quán)衡外部專家花費(fèi)與內(nèi)部測試人員成本?！? 

【編輯推薦】

1. 如何進(jìn)入滲透測試行業(yè)道德黑客是否需要鑒定
2. 企業(yè)級Web安全滲透測試之SSL篇