•   2020年05月14日
•   TÜV奥地利集团

TÜV奥地利集团子公司TÜV TRUST IT GmbH对有关实施红色团队评估提供的小提示。

1. 管理承诺
所有相关的决策者（例如，首席执行官/ GF，CIO，CISO，DSB，工作委员会）都必须支持该项目，但是可能没有其他员工知道该计划的项目。

2. 信任服务提供商
对“红队”的信任程度越高，从测试中获得的知识就越有价值。

3. 服务提供商的专业知识和多功能性

红色团队评估服务提供商必须展示出很多专业知识，多功能性，经验和敏感性。 行业知识有助于规划方法。

4. 灵活操作
红色团队评估是动态，灵活地进行的，没有固定的时间。 例如，如果知道影响公司的新漏洞的详细信息，则“红队”也可以利用临时增加的攻击面。

5. 使用所有“红队”工具

为了获得最准确的安全状况图，应使用尽可能多的“红队”工具，包括社会工程。

6.生产系统的局限性

红色团队评估主要测试生产系统。系统端限制的剩余风险是不可避免的，因此客户必须采取适当的预防措施。

7.使用未知的审核员进行社会工程措施

为了避免伪造结果，应使用未知的检查员，特别是在社会工程业务中，作为红色团队评估的一部分。

8.有效的错误文化

公司不应该为发现的赤字寻找“替罪羊”，而应该建设性地应对薄弱环节。

9.确定游戏规则

在某些情况下，应免除系统和应用程序的测试。这些必须在开始时明确定义。

10.经验教训和辅导

所有发现都应进入随后的“经验教训”阶段，包括详细的文档说明和各个测试步骤的复现，以便能够有效且可持续地关闭自己的大门。

结论：

考虑到上述10个成功因素，TÜVTRUST IT（www.it-tuv.com）的项目经验表明，红色团队评估也可以可持续的方式在经济上获得回报，因为安全级别的提高远远超出了纯粹技术安全措施的改进。

关于TÜV奥地利集团子公司TÜV TRUST IT GmbH

TÜVTRUST IT GmbH隶属于TÜV奥地利集团，作为IT-TÜV已成功运营多年。 公司位于科隆和维也纳，是经济的中立，客观和独立合作伙伴。 公司提供的服务重点是识别和评估IT风险。 服务的重点领域包括信息安全管理，移动安全，云安全，系统，应用程序和数据中心的安全，IT风险管理和IT合规性。

询价请咨询：

TÜV TRUST IT Unternehmensgruppe TÜV AUSTRIA | LESKANPark - Haus 1

Waltherstraße 49-51 | D-51069 Köln | +49 (0)221 - 96 97 89-0 | info@tuv-austria.com | it-tuv.com