不是进行渗透测试的最佳时机

机构更关心的是一个新类型的攻击比发现已知类型的攻击。此外，如果风险保留在风险记录中（风险保留），则表示该风险被接受为一种风险处理形式。这意味着渗透测试已完成，发现了漏洞，并对风险进行了进一步分析，确定了风险敞口，并接受了风险。
对於要被授予运行授权（ATO）的新开发系统，将渗透测试结果包含在评估报告中作为系统授权包的一部分并不罕见。
渗透测试可以根据组织政策和组织对风险的评估来安排和/或随机安排。可以考虑进行渗透测试：
（i）在任何新开发的资讯系统（或正在进行重大升级的旧系统）上，在该系统被授权运行之前；
（ⅱ）後重要的变化是对由环境，其中资讯系统操作; 和
（iii）在一个新的攻击类型的发现可能影响系统。

组织积极监控资讯系统环境和威胁态势（例如，新漏洞，攻击技术，新技术部署，用户安全以及隐私意识和培训），以识别需要进行周期外渗透测试的更改。
来源：NIST SP 800-53A

参考
. NIST SP 800-53A
. 交战规则
. Microsoft Cloud参与度的渗透测试规则
. 5笔测试的参与规则：执行渗透测试时应考虑的事项
. 为什麽交战规则对我的渗透测试很重要？

资料来源： Wentz Wu QOTD-20210130