企業通常會進行滲透測試，以驗證現有的安全和隱私控制，並通過發現漏洞和利用漏洞，徹底記錄測試期間執行的所有活動以及提供可操作的結果以及有關可能的補救措施的信息來增強對系統的了解。有關詳細信息，請參閱NIST SP 800-53A中的附錄E：滲透測試。

-什麼是風險？

不確定性：可能性分析(Uncertainty: Likelihood Analysis)
在滲透測試中，可能性分析是必需的，也是至關重要的。根據NIST SP 800-53A，有效的滲透測試會根據團隊在滲透系統方面的努力程度，得出表明攻擊者做出妥協的可能性的結果，以此作為系統滲透阻力的指標。

效果：影響分析(Effect: Impact Analysis)
業務影響分析不是強制性的，甚至是不可行的。組織對業務價值和業務影響分析更感興趣。作為外部人員，外部安全團隊很難分析業務影響並評估風險敞口。即使它可以根據技術影響評估漏洞利用的風險，您的組織也必須自行評估業務影響，並且可能不希望或擔心外部安全團隊可以提交帶有估計風險暴露的報告。

風險暴露值(Risk Exposure)
風險暴露值通常被定義為風險的不確定性和影響的乘積，即期望值或預期敞口。

1. 由風險給個人，項目或組織帶來的潛在損失。（ISO / IEC 16085：2006系統和軟件工程—生命週期過程—風險管理）
2. 風險發生的可能性及其發生後果的嚴重程度的函數。（ISO / IEC 16085：2006系統和軟件工程—生命週期過程—風險管理）
3. 概率乘以風險因素的潛在損失的乘積。（ISO / IEC / IEEE 24765：2017系統和軟件工程-詞彙表）

參考
. NIST SP 800-53A
. 交戰規則
. Microsoft Cloud參與度的滲透測試規則
. 5筆測試的參與規則：執行滲透測試時應考慮的事項
. 為什麼交戰規則對我的滲透測試很重要？

資料來源： Wentz Wu QOTD-20210131