跳至主要内容

TÜV®

成功进行红队评估的10个成功因素

  •   2020年05月14日
  •   TÜV奥地利集团

TÜV奥地利集团子公司TÜV TRUST IT GmbH对有关实施红色团队评估提供的小提示。

1. 管理承诺
所有相关的决策者(例如,首席执行官/ GFCIOCISODSB,工作委员会)都必须支持该项目,但是可能没有其他员工知道该计划的项目。

2. 信任服务提供商
对“红队”的信任程度越高,从测试中获得的知识就越有价值。

3. 服务提供商的专业知识和多功能性

红色团队评估服务提供商必须展示出很多专业知识,多功能性,经验和敏感性。 行业知识有助于规划方法。

4. 灵活操作
红色团队评估是动态,灵活地进行的,没有固定的时间。 例如,如果知道影响公司的新漏洞的详细信息,则“红队”也可以利用临时增加的攻击面。

5. 使用所有“红队”工具

为了获得最准确的安全状况图,应使用尽可能多的“红队”工具,包括社会工程。

6.生产系统的局限性

红色团队评估主要测试生产系统。系统端限制的剩余风险是不可避免的,因此客户必须采取适当的预防措施。

7.使用未知的审核员进行社会工程措施

为了避免伪造结果,应使用未知的检查员,特别是在社会工程业务中,作为红色团队评估的一部分。

8.有效的错误文化

公司不应该为发现的赤字寻找“替罪羊”,而应该建设性地应对薄弱环节。

9.确定游戏规则

在某些情况下,应免除系统和应用程序的测试。这些必须在开始时明确定义。

10.经验教训和辅导

所有发现都应进入随后的“经验教训”阶段,包括详细的文档说明和各个测试步骤的复现,以便能够有效且可持续地关闭自己的大门。

结论:

考虑到上述10个成功因素,TÜVTRUST ITwww.it-tuv.com)的项目经验表明,红色团队评估也可以可持续的方式在经济上获得回报,因为安全级别的提高远远超出了纯粹技术安全措施的改进。

关于TÜV奥地利集团子公司TÜV TRUST IT GmbH

TÜVTRUST IT GmbH隶属于TÜV奥地利集团,作为IT-TÜV已成功运营多年。 公司位于科隆和维也纳,是经济的中立,客观和独立合作伙伴。 公司提供的服务重点是识别和评估IT风险。 服务的重点领域包括信息安全管理,移动安全,云安全,系统,应用程序和数据中心的安全,IT风险管理和IT合规性。

询价请咨询:

TÜV TRUST IT Unternehmensgruppe TÜV AUSTRIA | LESKANPark - Haus 1

Waltherstraße 49-51 | D-51069 Köln | +49 (0)221 - 96 97 89-0 | info@tuv-austria.com | it-tuv.com