切记:你看不到任何东西
Bellis说,在那些渗透测试不能发挥长处的领域中,该工艺不能被用来全景地、360度地探测组织的整个安全状态。
“在所有弱点中,能被你找到的不会超过2%。”Bellis说,“你必须优先考虑你想要这2%包括什么,也就是说,你要根据问题的重要程度来做出决定。这是很困难的。”
Orbitz优先保护客户免受那些利用公司网站的人感染客户。Bellis表示,这本身就是一个艰巨的任务。
切记:它并不总是在运作
Bellis还指出,像许多安全工具一样,通常渗透测试也不会总是在工作。他说,有时候,一项测试可能不能找到严重的弱点。但是这就是为什么在更大的安全“兵工厂”中它仅能被看做是一个工具的原因。
“关键是要知道,你希望利用渗透测试找到什么东西,并在此基础上对它做出期望。”他说,“最后,尽管如此,没有什么安全工具本身是百分百有效的。”
回到Chess关于渗透测试将会走向灭亡的预言,Bellis指出,某些安全技术总是要被打上死亡的记号。例如,就像Gartner 2003年的预测,IDS已经死亡(但是入侵检测和防护系统今天仍在生存)。
“没有谁会完全有用,但也没有谁是完全没有价值的。”他说。