RSA2013：管制互联网“枪支”——渗透测试工具

在本届RSA 2013信息安全大会上，将讨论一个很有趣的话题“Internet GUN CONTROL – Are Pentesting Tools Good or Evil”，互联网“枪支”管控——渗透测试工具是上帝还是撒旦?

现在许多企业为了确保自己公司网络的安全性，会聘请专业安全公司对公司网络进行检测。而检测的方法之一就是对公司网络进行模拟攻击测试，此时就需要使用渗透测试工具了，借助这类工具可以对用户网络或者其IT平台进行评估。

不过，有些时候渗透测试工具却会被恶意攻击者所利用，恶意攻击者会使用渗透测试工具来发现被攻击目标网络、系统缺陷，并藉此发动攻击。

渗透测试工具犹如现实世界里的枪支一样，当其为正确的人所掌控时，可以帮助维护网络世界的安全。可当其被恶意攻击者掌控时，渗透测试工具将被爆发出惊人的破坏力。如何才能更好的对渗透测试工具进行管控，是一个需要好好考虑的问题。

另外，本届大会上还会讨论有关安全意识培训的话题。现在对于安全意识培训人们有完全相反的两种观点：赞成，反对。赞成者认为，适当的最终用户安全意识培训是保护用户网络、系统安全的重要一环;反对者认为安全意识培训是在浪费时间，最好的安全解决方案就是以技术控制的方法来保护用户。

有一件事实是人们都要承认的：正是“人”的各类行为引发了网络系统里的安全问题，所有安全产品、安全解决方案其最终目的其实都是为了解决网络系统里“人”的问题。那么仅仅从技术层面是否能够解决由人所引发的一切安全问题呢?意识层面的工作是否真的无用?还是现有的意识层面工作还无法达到理想的效果?也许安全意识培训企业可以考虑与心理医生合作，借鉴心理医生的工作模式。

在愈演愈烈的社交网络攻击面前，“人”的因素变得更加凸显，相应的各类安全产品、安全解决方案也需要加重与之相关的功能、解决方法。