安全专家:渗透测试并非一次就好

网络犯罪分子使用先进的人工智能驱动和自动化工具来利用许多组织甚至不知其存在的漏洞,Gartner将这些威胁称为“高动量威胁”。
如果你搜索“我应该多久做一次渗透测试?”,弹出的第一个答案是“一年一次”。事实上,即使是行业领先的标准,如PCI-DSS,也要求每年进行一次外部渗透测试(或在基础设施或应用程序发生重大变化之后),而内部渗透测试每年进行一次,分段测试每六个月进行一次。

 

然而,今天的网络犯罪分子并不会按年度计划工作。他们不会等到渗透测试时间到来或是漏洞得到纠正。他们出手迅猛,使用先进的人工智能驱动和自动化工具来利用许多组织甚至不知其存在的漏洞。Gartner将这些威胁称为“高动量威胁”,并建议面临风险的组织采用更简化的网络安全方法。
应对敏捷网络犯罪分子的挑战需要一种更加敏捷的能够弥补渗透测试不足的方法。

 

更快的周期

 

现在的标准正在赶上网络犯罪的步伐。根据NIST网络安全框架(CSF),组织应在每次系统更新或补丁部署后验证他们是否已修复漏洞。然而在实践中却很难做到。简单的经济学原理,传统的渗透测试非常耗费资源,因此成本高昂熟练的渗透测试人员需求量很大,因此服务收费也很高。对于目标IT环境的一部分,一次渗透测试很容易就花费数十万元。很少有组织拥有这种类型的预算——当然也不是以确保网络在更新或添加新系统、用户和应用程序时保持安全所需的频率在整个环境中扩展渗透测试所需的预算类型。

 

自动化需求

 

对于手动渗透测试的传统态度有点像驾驶导航的传统方法:没有什么可以取代人类的成熟度和积累的知识。出租车司机总能击败导航,训练有素的渗透测试专业人员会发现自动化测试可能遗漏的漏洞和攻击,或者识别出对自动化软件来说似乎合法但实际上是威胁的响应。
这样的说法或许有一定道理,但是,对于使用AI/ML功能来提高攻击效率的RaaS(勒索软件即服务)或MaaS(恶意软件即服务)等现成工具和服务,组织需要一支渗透测试人员队伍才能真正满足当今网络威胁的挑战一旦你找到、训练和使用了他们——网络攻击者只会增加他们的自动化工作,此时组织又需要征召另一支队伍。显然,这不是一个可持续的网络安全建设模式。
同样,敏捷开发方法的广泛采用已转化为越来越频繁的软件发布。由于环境在不断发展,在旧版本或预发布版本上执行的渗透测试结果很快就会过时。敏捷经常依赖开源和其他现成的代码片段,而这些代码很容易出现漏洞。
由于所有这些原因,采用渗透测试的组织越来越多地转向自动化,以实现持续的安全验证

 

连续性

 

传统的渗透测试方法(手动和自动)可提供网络或应用程序安全状况的快照。然而,如上所述,环境是高度动态的,使得攻击面不断发生变化。当连接了新的API、添加了新服务器或发布了新版本时,但下一轮渗透测试还需要一年时间,该快照就不再有效
为了解决这个问题,组织正在转向持续渗透测试模型。这些组织不是一年只进行一次测试,而是采用可以持续测试其环境的工具和方法。由于攻击者不断以组织为目标以发现和利用新漏洞,因此除了采用更主动的方法来发现和修复漏洞之外,别无选择。传统的时间点安全评估根本跟不上。

 

底线

 

网络威胁变得更加敏捷、更具可扩展性和无限危险。传统的手动和定期渗透测试根本无法为组织提供生存所需的安全性。只有自动化和连续的模型才能保护不断变化的网络和应用程序,帮助企业保持安全、合规并持续盈利。
 

 


 

基于传统渗透测试模式的不足与层出不穷的新型网络攻击手段,塞讯验证在国内开创性提出利用真实自动化APT攻击场景来持续验证安全防御有效性的概念,旨在用安全验证技术帮助客户实现365天持续评估自身网络和数据安全防御体系效果。
相比于传统的自动化渗透工具,塞讯安全度量验证平台能够持续地为组织提供安全验证服务,具备多种传统安全工具所缺乏的优势:

 

  • 从一线情报获取各种威胁数据,包括真实、活跃和流行的攻击数据,以及攻击组织所使用的各种TTPs

  • 能够针对各种流行的、活跃的攻击行为来衡量安全防护手段效果
  • 具备安全的测试验证恶意文件和勒索病毒的能力,验证过程保证客户资产安全不受影响
  • 能够自动化持续监控企业环境中安全防护能力的变化
  • 为企业分析投入收益比提供数据支撑
  • 帮助企业优化安全防护体系以及SIEM、SOC策略
  • 支持跨越整个攻击生命周期中不同阶段的检测
  • 对环境中的变更进行告警,减少安全运营人员的工作量

 

 

| 参考来源:

https://www.helpnetsecurity.com/2022/06/14/need-for-continuous-penetration-testing/