企业通常会进行渗透测试,以验证现有的安全和隐私控制,并通过发现漏洞和利用漏洞,彻底记录测试期间执行的所有活动以及提供可操作的结果以及有关可能的补救措施的信息来增强对系统的了解。有关详细信息,请参阅NIST SP 800-53A中的附录E:渗透测试。
-什麽是风险?
不确定性:可能性分析(Uncertainty: Likelihood Analysis)
在渗透测试中,可能性分析是必需的,也是至关重要的。根据NIST SP 800-53A,有效的渗透测试会根据团队在渗透系统方面的努力程度,得出表明攻击者做出妥协的可能性的结果,以此作为系统渗透阻力的指标。
效果:影响分析(Effect: Impact Analysis)
业务影响分析不是强制性的,甚至是不可行的。组织对业务价值和业务影响分析更感兴趣。作为外部人员,外部安全团队很难分析业务影响并评估风险敞口。即使它可以根据技术影响评估漏洞利用的风险,您的组织也必须自行评估业务影响,并且可能不希望或担心外部安全团队可以提交带有估计风险暴露的报告。
风险暴露值(Risk Exposure)
风险暴露值通常被定义为风险的不确定性和影响的乘积,即期望值或预期敞口。
参考
. NIST SP 800-53A
. 交战规则
. Microsoft Cloud参与度的渗透测试规则
. 5笔测试的参与规则:执行渗透测试时应考虑的事项
. 为什麽交战规则对我的渗透测试很重要?
资料来源: Wentz Wu QOTD-20210131
今天我们会简单讲解一下v-for的功能,废话不多说,直接开始吧!! v-for 当HTML有一些重复...
CSS isolation 介绍 有时候会想对不同 Component 做个别样式设定,但如果把 c...
编辑器玩很大,Elementor 功能多多 今天本来预计要撰写 WordPress 後台左手边功能栏...
把 HackMD 当成网站後台 前面已经分享了如何完全透过网页的操作,就可以把 VuePress 网...
新手在刚开始学习时,在工作上往往会遇到许多的困难,而在这边我有一些建议可以给新手 1. 学习怎麽Go...