機構更關心的是一個新類型的攻擊比發現已知類型的攻擊。此外,如果風險保留在風險記錄中(風險保留),則表示該風險被接受為一種風險處理形式。這意味著滲透測試已完成,發現了漏洞,並對風險進行了進一步分析,確定了風險敞口,並接受了風險。
對於要被授予運行授權(ATO)的新開發系統,將滲透測試結果包含在評估報告中作為系統授權包的一部分並不罕見。
滲透測試可以根據組織政策和組織對風險的評估來安排和/或隨機安排。可以考慮進行滲透測試:
(i)在任何新開發的資訊系統(或正在進行重大升級的舊系統)上,在該系統被授權運行之前;
(ⅱ)後重要的變化是對由環境,其中資訊系統操作; 和
(iii)在一個新的攻擊類型的發現可能影響系統。
組織積極監控資訊系統環境和威脅態勢(例如,新漏洞,攻擊技術,新技術部署,用戶安全以及隱私意識和培訓),以識別需要進行週期外滲透測試的更改。
來源:NIST SP 800-53A
參考
. NIST SP 800-53A
. 交戰規則
. Microsoft Cloud參與度的滲透測試規則
. 5筆測試的參與規則:執行滲透測試時應考慮的事項
. 為什麼交戰規則對我的滲透測試很重要?
資料來源: Wentz Wu QOTD-20210130
卓建全(Cho,Chien-Chuan)
iThome鐵人賽
看影片追技術