如果你搜索“我應(yīng)該多久做一次滲透測(cè)試？”，彈出的第一個(gè)答案是“一年一次”。事實(shí)上，即使是行業(yè)領(lǐng)先的標(biāo)準(zhǔn)，如PCI-DSS，也要求每年進(jìn)行一次外部滲透測(cè)試（或在基礎(chǔ)設(shè)施或應(yīng)用程序發(fā)生重大變化之后），而內(nèi)部滲透測(cè)試每年進(jìn)行一次，分段測(cè)試每六個(gè)月進(jìn)行一次。

然而，今天的網(wǎng)絡(luò)犯罪分子并不會(huì)按年度計(jì)劃工作。他們不會(huì)等到滲透測(cè)試時(shí)間到來(lái)或是漏洞得到糾正。他們出手迅猛，使用先進(jìn)的人工智能驅(qū)動(dòng)和自動(dòng)化工具來(lái)利用許多組織甚至不知其存在的漏洞。Gartner將這些威脅稱為“高動(dòng)量威脅”，并建議面臨風(fēng)險(xiǎn)的組織采用更簡(jiǎn)化的網(wǎng)絡(luò)安全方法。

應(yīng)對(duì)敏捷網(wǎng)絡(luò)犯罪分子的挑戰(zhàn)需要一種更加敏捷的能夠彌補(bǔ)滲透測(cè)試不足的方法。

更快的周期

現(xiàn)在的標(biāo)準(zhǔn)正在趕上網(wǎng)絡(luò)犯罪的步伐。根據(jù)NIST網(wǎng)絡(luò)安全框架(CSF)，組織應(yīng)在每次系統(tǒng)更新或補(bǔ)丁部署后驗(yàn)證他們是否已修復(fù)漏洞。然而在實(shí)踐中卻很難做到。簡(jiǎn)單的經(jīng)濟(jì)學(xué)原理，傳統(tǒng)的滲透測(cè)試非常耗費(fèi)資源，因此成本高昂。熟練的滲透測(cè)試人員需求量很大，因此服務(wù)收費(fèi)也很高。對(duì)于目標(biāo)IT環(huán)境的一部分，一次滲透測(cè)試很容易就花費(fèi)數(shù)十萬(wàn)元。很少有組織擁有這種類型的預(yù)算——當(dāng)然也不是以確保網(wǎng)絡(luò)在更新或添加新系統(tǒng)、用戶和應(yīng)用程序時(shí)保持安全所需的頻率在整個(gè)環(huán)境中擴(kuò)展?jié)B透測(cè)試所需的預(yù)算類型。

 

自動(dòng)化需求

對(duì)于手動(dòng)滲透測(cè)試的傳統(tǒng)態(tài)度有點(diǎn)像駕駛導(dǎo)航的傳統(tǒng)方法：沒有什么可以取代人類的成熟度和積累的知識(shí)。出租車司機(jī)總能擊敗導(dǎo)航，訓(xùn)練有素的滲透測(cè)試專業(yè)人員會(huì)發(fā)現(xiàn)自動(dòng)化測(cè)試可能遺漏的漏洞和攻擊，或者識(shí)別出對(duì)自動(dòng)化軟件來(lái)說(shuō)似乎合法但實(shí)際上是威脅的響應(yīng)。

這樣的說(shuō)法或許有一定道理，但是，對(duì)于使用AI/ML功能來(lái)提高攻擊效率的RaaS（勒索軟件即服務(wù)）或MaaS（惡意軟件即服務(wù)）等現(xiàn)成工具和服務(wù)，組織需要一支滲透測(cè)試人員隊(duì)伍才能真正滿足當(dāng)今網(wǎng)絡(luò)威脅的挑戰(zhàn)。一旦你找到、訓(xùn)練和使用了他們——網(wǎng)絡(luò)攻擊者只會(huì)增加他們的自動(dòng)化工作，此時(shí)組織又需要征召另一支隊(duì)伍。顯然，這不是一個(gè)可持續(xù)的網(wǎng)絡(luò)安全建設(shè)模式。

同樣，敏捷開發(fā)方法的廣泛采用已轉(zhuǎn)化為越來(lái)越頻繁的軟件發(fā)布。由于環(huán)境在不斷發(fā)展，在舊版本或預(yù)發(fā)布版本上執(zhí)行的滲透測(cè)試結(jié)果很快就會(huì)過(guò)時(shí)。敏捷經(jīng)常依賴開源和其他現(xiàn)成的代碼片段，而這些代碼很容易出現(xiàn)漏洞。

由于所有這些原因，采用滲透測(cè)試的組織越來(lái)越多地轉(zhuǎn)向自動(dòng)化，以實(shí)現(xiàn)持續(xù)的安全驗(yàn)證。

連續(xù)性

傳統(tǒng)的滲透測(cè)試方法（手動(dòng)和自動(dòng)）可提供網(wǎng)絡(luò)或應(yīng)用程序安全狀況的快照。然而，如上所述，環(huán)境是高度動(dòng)態(tài)的，使得攻擊面不斷發(fā)生變化。當(dāng)連接了新的API、添加了新服務(wù)器或發(fā)布了新版本時(shí)，但下一輪滲透測(cè)試還需要一年時(shí)間，該快照就不再有效。

為了解決這個(gè)問題，組織正在轉(zhuǎn)向持續(xù)滲透測(cè)試模型。這些組織不是一年只進(jìn)行一次測(cè)試，而是采用可以持續(xù)測(cè)試其環(huán)境的工具和方法。由于攻擊者不斷以組織為目標(biāo)以發(fā)現(xiàn)和利用新漏洞，因此除了采用更主動(dòng)的方法來(lái)發(fā)現(xiàn)和修復(fù)漏洞之外，別無(wú)選擇。傳統(tǒng)的時(shí)間點(diǎn)安全評(píng)估根本跟不上。

 

底線

網(wǎng)絡(luò)威脅變得更加敏捷、更具可擴(kuò)展性和無(wú)限危險(xiǎn)。傳統(tǒng)的手動(dòng)和定期滲透測(cè)試根本無(wú)法為組織提供生存所需的安全性。只有自動(dòng)化和連續(xù)的模型才能保護(hù)不斷變化的網(wǎng)絡(luò)和應(yīng)用程序，幫助企業(yè)保持安全、合規(guī)并持續(xù)盈利。

基于傳統(tǒng)滲透測(cè)試模式的不足與層出不窮的新型網(wǎng)絡(luò)攻擊手段，塞訊驗(yàn)證在國(guó)內(nèi)率先提出利用真實(shí)自動(dòng)化APT攻擊場(chǎng)景來(lái)持續(xù)驗(yàn)證安全防御有效性的概念，旨在用安全驗(yàn)證技術(shù)幫助客戶實(shí)現(xiàn)365天持續(xù)評(píng)估自身網(wǎng)絡(luò)和數(shù)據(jù)安全防御體系效果。

相比于傳統(tǒng)的自動(dòng)化滲透工具，塞訊安全度量驗(yàn)證平臺(tái)能夠持續(xù)地為組織提供安全驗(yàn)證服務(wù)，具備多種傳統(tǒng)安全工具所缺乏的優(yōu)勢(shì)：

• 從一線情報(bào)獲取各種威脅數(shù)據(jù)，包括真實(shí)、活躍和最流行的攻擊數(shù)據(jù)，以及攻擊組織所使用的各種TTPs
• 能夠針對(duì)各種流行的、活躍的攻擊行為來(lái)衡量安全防護(hù)手段效果
• 具備安全的測(cè)試驗(yàn)證惡意文件和勒索病毒的能力，驗(yàn)證過(guò)程保證客戶資產(chǎn)安全不受影響
• 能夠自動(dòng)化持續(xù)監(jiān)控企業(yè)環(huán)境中安全防護(hù)能力的變化
• 為企業(yè)分析投資回報(bào)率提供數(shù)據(jù)支撐
• 幫助企業(yè)優(yōu)化安全防護(hù)體系以及SIEM、SOC策略
• 支持跨越整個(gè)攻擊生命周期中不同階段的檢測(cè)
• 對(duì)環(huán)境中的變更進(jìn)行告警，減少安全運(yùn)營(yíng)人員的工作量