NIST SP 800-53A（附录E：渗透测试）

企业通常会进行渗透测试，以验证现有的安全和隐私控制，并通过发现漏洞和利用漏洞，彻底记录测试期间执行的所有活动以及提供可操作的结果以及有关可能的补救措施的信息来增强对系统的了解。有关详细信息，请参阅NIST SP 800-53A中的附录E：渗透测试。

-什麽是风险？

不确定性：可能性分析(Uncertainty: Likelihood Analysis)
在渗透测试中，可能性分析是必需的，也是至关重要的。根据NIST SP 800-53A，有效的渗透测试会根据团队在渗透系统方面的努力程度，得出表明攻击者做出妥协的可能性的结果，以此作为系统渗透阻力的指标。

效果：影响分析(Effect: Impact Analysis)
业务影响分析不是强制性的，甚至是不可行的。组织对业务价值和业务影响分析更感兴趣。作为外部人员，外部安全团队很难分析业务影响并评估风险敞口。即使它可以根据技术影响评估漏洞利用的风险，您的组织也必须自行评估业务影响，并且可能不希望或担心外部安全团队可以提交带有估计风险暴露的报告。

风险暴露值(Risk Exposure)
风险暴露值通常被定义为风险的不确定性和影响的乘积，即期望值或预期敞口。

1. 由风险给个人，项目或组织带来的潜在损失。（ISO / IEC 16085：2006系统和软件工程—生命周期过程—风险管理）
2. 风险发生的可能性及其发生後果的严重程度的函数。（ISO / IEC 16085：2006系统和软件工程—生命周期过程—风险管理）
3. 概率乘以风险因素的潜在损失的乘积。（ISO / IEC / IEEE 24765：2017系统和软件工程-词汇表）

参考
. NIST SP 800-53A
. 交战规则
. Microsoft Cloud参与度的渗透测试规则
. 5笔测试的参与规则：执行渗透测试时应考虑的事项
. 为什麽交战规则对我的渗透测试很重要？

资料来源： Wentz Wu QOTD-20210131