如果你搜索“我應該多久做一次滲透測試？”，彈出的第一個答案是“一年一次”。事實上，即使是行業領先的標準，如PCI-DSS，也要求每年進行一次外部滲透測試（或在基礎設施或應用程序發生重大變化之后），而內部滲透測試每年進行一次，分段測試每六個月進行一次。

然而，今天的網絡犯罪分子并不會按年度計劃工作。他們不會等到滲透測試時間到來或是漏洞得到糾正。他們出手迅猛，使用先進的人工智能驅動和自動化工具來利用許多組織甚至不知其存在的漏洞。Gartner將這些威脅稱為“高動量威脅”，并建議面臨風險的組織采用更簡化的網絡安全方法。

應對敏捷網絡犯罪分子的挑戰需要一種更加敏捷的能夠彌補滲透測試不足的方法。

更快的周期

現在的標準正在趕上網絡犯罪的步伐。根據NIST網絡安全框架(CSF)，組織應在每次系統更新或補丁部署后驗證他們是否已修復漏洞。然而在實踐中卻很難做到。簡單的經濟學原理，傳統的滲透測試非常耗費資源，因此成本高昂。熟練的滲透測試人員需求量很大，因此服務收費也很高。對于目標IT環境的一部分，一次滲透測試很容易就花費數十萬元。很少有組織擁有這種類型的預算——當然也不是以確保網絡在更新或添加新系統、用戶和應用程序時保持安全所需的頻率在整個環境中擴展滲透測試所需的預算類型。

 

自動化需求

對于手動滲透測試的傳統態度有點像駕駛導航的傳統方法：沒有什么可以取代人類的成熟度和積累的知識。出租車司機總能擊敗導航，訓練有素的滲透測試專業人員會發現自動化測試可能遺漏的漏洞和攻擊，或者識別出對自動化軟件來說似乎合法但實際上是威脅的響應。

這樣的說法或許有一定道理，但是，對于使用AI/ML功能來提高攻擊效率的RaaS（勒索軟件即服務）或MaaS（惡意軟件即服務）等現成工具和服務，組織需要一支滲透測試人員隊伍才能真正滿足當今網絡威脅的挑戰。一旦你找到、訓練和使用了他們——網絡攻擊者只會增加他們的自動化工作，此時組織又需要征召另一支隊伍。顯然，這不是一個可持續的網絡安全建設模式。

同樣，敏捷開發方法的廣泛采用已轉化為越來越頻繁的軟件發布。由于環境在不斷發展，在舊版本或預發布版本上執行的滲透測試結果很快就會過時。敏捷經常依賴開源和其他現成的代碼片段，而這些代碼很容易出現漏洞。

由于所有這些原因，采用滲透測試的組織越來越多地轉向自動化，以實現持續的安全驗證。

連續性

傳統的滲透測試方法（手動和自動）可提供網絡或應用程序安全狀況的快照。然而，如上所述，環境是高度動態的，使得攻擊面不斷發生變化。當連接了新的API、添加了新服務器或發布了新版本時，但下一輪滲透測試還需要一年時間，該快照就不再有效。

為了解決這個問題，組織正在轉向持續滲透測試模型。這些組織不是一年只進行一次測試，而是采用可以持續測試其環境的工具和方法。由于攻擊者不斷以組織為目標以發現和利用新漏洞，因此除了采用更主動的方法來發現和修復漏洞之外，別無選擇。傳統的時間點安全評估根本跟不上。

 

底線

網絡威脅變得更加敏捷、更具可擴展性和無限危險。傳統的手動和定期滲透測試根本無法為組織提供生存所需的安全性。只有自動化和連續的模型才能保護不斷變化的網絡和應用程序，幫助企業保持安全、合規并持續盈利。

基于傳統滲透測試模式的不足與層出不窮的新型網絡攻擊手段，塞訊驗證在國內率先提出利用真實自動化APT攻擊場景來持續驗證安全防御有效性的概念，旨在用安全驗證技術幫助客戶實現365天持續評估自身網絡和數據安全防御體系效果。

相比于傳統的自動化滲透工具，塞訊安全度量驗證平臺能夠持續地為組織提供安全驗證服務，具備多種傳統安全工具所缺乏的優勢：

• 從一線情報獲取各種威脅數據，包括真實、活躍和最流行的攻擊數據，以及攻擊組織所使用的各種TTPs
• 能夠針對各種流行的、活躍的攻擊行為來衡量安全防護手段效果
• 具備安全的測試驗證惡意文件和勒索病毒的能力，驗證過程保證客戶資產安全不受影響
• 能夠自動化持續監控企業環境中安全防護能力的變化
• 為企業分析投資回報率提供數據支撐
• 幫助企業優化安全防護體系以及SIEM、SOC策略
• 支持跨越整個攻擊生命周期中不同階段的檢測
• 對環境中的變更進行告警，減少安全運營人員的工作量