如果你搜索“我應(yīng)該多久做一次滲透測試？”，彈出的第一個答案是“一年一次”。事實上，即使是行業(yè)領(lǐng)先的標(biāo)準(zhǔn)，如PCI-DSS，也要求每年進(jìn)行一次外部滲透測試（或在基礎(chǔ)設(shè)施或應(yīng)用程序發(fā)生重大變化之后），而內(nèi)部滲透測試每年進(jìn)行一次，分段測試每六個月進(jìn)行一次。

然而，今天的網(wǎng)絡(luò)犯罪分子并不會按年度計劃工作。他們不會等到滲透測試時間到來或是漏洞得到糾正。他們出手迅猛，使用先進(jìn)的人工智能驅(qū)動和自動化工具來利用許多組織甚至不知其存在的漏洞。Gartner將這些威脅稱為“高動量威脅”，并建議面臨風(fēng)險的組織采用更簡化的網(wǎng)絡(luò)安全方法。

應(yīng)對敏捷網(wǎng)絡(luò)犯罪分子的挑戰(zhàn)需要一種更加敏捷的能夠彌補(bǔ)滲透測試不足的方法。

更快的周期

現(xiàn)在的標(biāo)準(zhǔn)正在趕上網(wǎng)絡(luò)犯罪的步伐。根據(jù)NIST網(wǎng)絡(luò)安全框架(CSF)，組織應(yīng)在每次系統(tǒng)更新或補(bǔ)丁部署后驗證他們是否已修復(fù)漏洞。然而在實踐中卻很難做到。簡單的經(jīng)濟(jì)學(xué)原理，傳統(tǒng)的滲透測試非常耗費(fèi)資源，因此成本高昂。熟練的滲透測試人員需求量很大，因此服務(wù)收費(fèi)也很高。對于目標(biāo)IT環(huán)境的一部分，一次滲透測試很容易就花費(fèi)數(shù)十萬元。很少有組織擁有這種類型的預(yù)算——當(dāng)然也不是以確保網(wǎng)絡(luò)在更新或添加新系統(tǒng)、用戶和應(yīng)用程序時保持安全所需的頻率在整個環(huán)境中擴(kuò)展?jié)B透測試所需的預(yù)算類型。

 

自動化需求

對于手動滲透測試的傳統(tǒng)態(tài)度有點(diǎn)像駕駛導(dǎo)航的傳統(tǒng)方法：沒有什么可以取代人類的成熟度和積累的知識。出租車司機(jī)總能擊敗導(dǎo)航，訓(xùn)練有素的滲透測試專業(yè)人員會發(fā)現(xiàn)自動化測試可能遺漏的漏洞和攻擊，或者識別出對自動化軟件來說似乎合法但實際上是威脅的響應(yīng)。

這樣的說法或許有一定道理，但是，對于使用AI/ML功能來提高攻擊效率的RaaS（勒索軟件即服務(wù)）或MaaS（惡意軟件即服務(wù)）等現(xiàn)成工具和服務(wù)，組織需要一支滲透測試人員隊伍才能真正滿足當(dāng)今網(wǎng)絡(luò)威脅的挑戰(zhàn)。一旦你找到、訓(xùn)練和使用了他們——網(wǎng)絡(luò)攻擊者只會增加他們的自動化工作，此時組織又需要征召另一支隊伍。顯然，這不是一個可持續(xù)的網(wǎng)絡(luò)安全建設(shè)模式。

同樣，敏捷開發(fā)方法的廣泛采用已轉(zhuǎn)化為越來越頻繁的軟件發(fā)布。由于環(huán)境在不斷發(fā)展，在舊版本或預(yù)發(fā)布版本上執(zhí)行的滲透測試結(jié)果很快就會過時。敏捷經(jīng)常依賴開源和其他現(xiàn)成的代碼片段，而這些代碼很容易出現(xiàn)漏洞。

由于所有這些原因，采用滲透測試的組織越來越多地轉(zhuǎn)向自動化，以實現(xiàn)持續(xù)的安全驗證。

連續(xù)性

傳統(tǒng)的滲透測試方法（手動和自動）可提供網(wǎng)絡(luò)或應(yīng)用程序安全狀況的快照。然而，如上所述，環(huán)境是高度動態(tài)的，使得攻擊面不斷發(fā)生變化。當(dāng)連接了新的API、添加了新服務(wù)器或發(fā)布了新版本時，但下一輪滲透測試還需要一年時間，該快照就不再有效。

為了解決這個問題，組織正在轉(zhuǎn)向持續(xù)滲透測試模型。這些組織不是一年只進(jìn)行一次測試，而是采用可以持續(xù)測試其環(huán)境的工具和方法。由于攻擊者不斷以組織為目標(biāo)以發(fā)現(xiàn)和利用新漏洞，因此除了采用更主動的方法來發(fā)現(xiàn)和修復(fù)漏洞之外，別無選擇。傳統(tǒng)的時間點(diǎn)安全評估根本跟不上。

 

底線

網(wǎng)絡(luò)威脅變得更加敏捷、更具可擴(kuò)展性和無限危險。傳統(tǒng)的手動和定期滲透測試根本無法為組織提供生存所需的安全性。只有自動化和連續(xù)的模型才能保護(hù)不斷變化的網(wǎng)絡(luò)和應(yīng)用程序，幫助企業(yè)保持安全、合規(guī)并持續(xù)盈利。

基于傳統(tǒng)滲透測試模式的不足與層出不窮的新型網(wǎng)絡(luò)攻擊手段，塞訊驗證在國內(nèi)率先提出利用真實自動化APT攻擊場景來持續(xù)驗證安全防御有效性的概念，旨在用安全驗證技術(shù)幫助客戶實現(xiàn)365天持續(xù)評估自身網(wǎng)絡(luò)和數(shù)據(jù)安全防御體系效果。

相比于傳統(tǒng)的自動化滲透工具，塞訊安全度量驗證平臺能夠持續(xù)地為組織提供安全驗證服務(wù)，具備多種傳統(tǒng)安全工具所缺乏的優(yōu)勢：

• 從一線情報獲取各種威脅數(shù)據(jù)，包括真實、活躍和最流行的攻擊數(shù)據(jù)，以及攻擊組織所使用的各種TTPs
• 能夠針對各種流行的、活躍的攻擊行為來衡量安全防護(hù)手段效果
• 具備安全的測試驗證惡意文件和勒索病毒的能力，驗證過程保證客戶資產(chǎn)安全不受影響
• 能夠自動化持續(xù)監(jiān)控企業(yè)環(huán)境中安全防護(hù)能力的變化
• 為企業(yè)分析投資回報率提供數(shù)據(jù)支撐
• 幫助企業(yè)優(yōu)化安全防護(hù)體系以及SIEM、SOC策略
• 支持跨越整個攻擊生命周期中不同階段的檢測
• 對環(huán)境中的變更進(jìn)行告警，減少安全運(yùn)營人員的工作量