IT業界資訊媒體

【業界話題】It’s Time to Kill the Pen Test

今年 RSA 有講者列出 Pen Test 5 宗罪!更發表「It’s Time to Kill the Pen Test」偉論!Penetration Test 係咪要淘汰?唔做 Pen Test 可以做乜?

一直以來,所有認真看待網絡保安嘅企業,都極度重視 Penetration Test(Pen Test),幾貴都畀,幾耐都等,係網絡保安神聖嘅一環。然而,來自 Savage Security 嘅 Adrian Sanabria 竟然於今年 RSA 發表偉論,力數 Pen Test 不是,揚言應該淘汰 Pen Test,有冇搞錯?!

Pen Test 作為 90 年代產物,在當時的確合情合理,因為透過 Pen Test 的確可以發現大部份漏洞,好似藥物要測驗,唔測會死人。然而,Sanabria 指出,今時今日網絡世界已經轉變,現行嘅 Pen Test 從設計到實踐根本就未能與時並進,過程又慢、成本又高,對企業又毫無幫助。Sanabria 更列出 Pen Test 5 大問題,為免誤譯,我地提供原文,如下:

Pen Test 5 宗罪

  1. 焦點只在找症狀,不找問題根源(Focus on symptoms, not root causes)
  2. 集中在預防,不在偵測(Focus on preventative controls, not detection)
  3. 只求深度,沒有闊度(Focus on depth, not breadth)
  4. 只查找問題,沒有解決問題(Focus on finding issues, not fixing them)
  5. 欠缺改進的測量指標(Have a lack of improvement metrics.)

嘩,究竟以上問題,係咪真係問題㗎?

不過,Sanabria 又响偉論之後帶返頭盔,又話業界始終需要 Pen Test,又話 Pen Test 可以令企業認真看待網絡保安,只不過大家要改革,令 Pen Test 更有效、更成熟云云…

Well,大家不妨借呢次機會,討論一下 Pen Test 本質及其功能啦。

來源 Infosecurity Magazine