การทดสอบการเจาะ - ข้อ จำกัด
เนื่องจากการพัฒนาอย่างรวดเร็วในด้านข้อมูลและเทคโนโลยีเรื่องราวความสำเร็จของการทดสอบการเจาะจึงค่อนข้างสั้น เนื่องจากจำเป็นต้องมีการป้องกันระบบมากขึ้นบ่อยครั้งกว่าที่คุณต้องทำการทดสอบการเจาะเพื่อลดโอกาสในการโจมตีที่ประสบความสำเร็จให้อยู่ในระดับที่ บริษัท ชื่นชม
ต่อไปนี้เป็นข้อ จำกัด ที่สำคัญของการทดสอบการเจาะ -
Limitation of Time- อย่างที่เราทุกคนทราบกันดีว่าการทดสอบการเจาะไม่ใช่แบบฝึกหัดที่ผูกมัดตลอดเวลา อย่างไรก็ตามผู้เชี่ยวชาญด้านการทดสอบการเจาะได้กำหนดระยะเวลาที่แน่นอนสำหรับการทดสอบแต่ละครั้ง ในทางกลับกันผู้โจมตีไม่มีข้อ จำกัด ด้านเวลาพวกเขาวางแผนเป็นสัปดาห์เดือนหรือปี
Limitation of Scope - หลายองค์กรไม่ได้ทดสอบทุกอย่างเนื่องจากข้อ จำกัด ของตนเองรวมถึงข้อ จำกัด ด้านทรัพยากรข้อ จำกัด ด้านความปลอดภัยข้อ จำกัด ด้านงบประมาณ ฯลฯ ในทำนองเดียวกันผู้ทดสอบมีขอบเขตที่ จำกัด และเขาต้องออกจากส่วนต่างๆของระบบที่อาจมีมากกว่านั้นมาก มีช่องโหว่และอาจเป็นช่องโหว่ที่สมบูรณ์แบบสำหรับผู้โจมตี
Limitation on Access- บ่อยครั้งที่ผู้ทดสอบ จำกัด การเข้าถึงสภาพแวดล้อมเป้าหมาย ตัวอย่างเช่นหาก บริษัท ได้ทำการทดสอบการเจาะระบบ DMZ จากทั่วทุกเครือข่ายอินเทอร์เน็ต แต่จะเกิดอะไรขึ้นถ้าผู้โจมตีโจมตีผ่านเกตเวย์อินเทอร์เน็ตปกติ
Limitation of Methods- มีโอกาสที่ระบบเป้าหมายจะขัดข้องในระหว่างการทดสอบการเจาะระบบดังนั้นวิธีการโจมตีบางอย่างอาจถูกปิดตารางสำหรับผู้ทดสอบการเจาะระดับมืออาชีพ ตัวอย่างเช่นการทำให้เกิดการปฏิเสธการให้บริการอย่างท่วมท้นเพื่อเบี่ยงเบนระบบหรือผู้ดูแลระบบเครือข่ายจากวิธีการโจมตีอื่นโดยปกติแล้วจะเป็นกลยุทธ์ที่เหมาะสำหรับคนเลวจริงๆ แต่ก็มีแนวโน้มที่จะผิดกฎการมีส่วนร่วมสำหรับผู้ทดสอบการเจาะมืออาชีพส่วนใหญ่ .
Limitation of Skill-sets of a Penetration Tester- โดยปกติผู้ทดสอบการเจาะระดับมืออาชีพจะถูก จำกัด เนื่องจากมีทักษะที่ จำกัด โดยไม่คำนึงถึงความเชี่ยวชาญและประสบการณ์ในอดีต ส่วนใหญ่มุ่งเน้นไปที่เทคโนโลยีเฉพาะและมีความรู้ที่หายากในสาขาอื่น ๆ
Limitation of Known Exploits- ผู้ทดสอบหลายคนรับรู้เฉพาะการหาประโยชน์ซึ่งเปิดเผยต่อสาธารณะ ในความเป็นจริงพลังจินตนาการของพวกเขาไม่ได้รับการพัฒนาเท่าผู้โจมตี โดยปกติผู้โจมตีจะคิดมากเกินความคิดของผู้ทดสอบและค้นพบข้อบกพร่องในการโจมตี
Limitation to Experiment- ผู้ทดสอบส่วนใหญ่มีเวลาผูกมัดและปฏิบัติตามคำแนะนำที่องค์กรหรือผู้อาวุโสกำหนดไว้แล้ว พวกเขาไม่ลองอะไรใหม่ ๆ พวกเขาไม่คิดเกินกว่าคำแนะนำที่กำหนด ในทางกลับกันผู้โจมตีมีอิสระที่จะคิดทดลองและสร้างเส้นทางใหม่ในการโจมตี
ยิ่งไปกว่านั้นการทดสอบการเจาะไม่สามารถแทนที่การทดสอบความปลอดภัยไอทีตามปกติและไม่สามารถทดแทนนโยบายความปลอดภัยทั่วไปได้ แต่การทดสอบการเจาะจะช่วยเสริมขั้นตอนการตรวจสอบที่กำหนดไว้และค้นพบภัยคุกคามใหม่