信息來源:企業(yè)網(wǎng)D1Net
新的連續(xù)自動滲透和攻擊測試(CAPAT)工具將幫助首席財務(wù)官(CISO)更好地了解自身的薄弱點并先后采取最重要的補救措施����。
與兩年前相比�,如今組織的網(wǎng)絡(luò)風(fēng)險管理更加困難����。最近展開的ESG調(diào)研中有73%的安全專業(yè)人員這樣表示。為什么會這樣呢?受訪者指向了一系列因素�����,如攻擊面越來越大����,軟件漏洞數(shù)量不斷增加,網(wǎng)絡(luò)攻擊者的技術(shù)實力也在不斷提高��。
那么組織如何減輕日益增長的網(wǎng)絡(luò)風(fēng)險呢?一種常見的方法是通過紅隊測試(red teaming)和滲透測試等演練更好地利用現(xiàn)有網(wǎng)絡(luò)防御的力量�����。
許多組織已經(jīng)進行了滲透測試或紅隊測試�����,使用所得數(shù)據(jù)來衡量安全團隊的績效�����,與IT領(lǐng)導(dǎo)者一起評估結(jié)果����,以及對一系列安全控制措施和流程進行重新評估——這一切都是有價值的成果。
但問題就在于:大多數(shù)組織每年只進行一兩次這樣的演練�����。此外�,ESG的研究表明,在75%的組織中�,滲透測試和紅隊測試方面的工作只能堅持兩周,甚至兩周都不到���。盡管滲透測試和紅隊測試很有價值���,但也十分昂貴,而且很少有組織具備專門的人員或高級技能來親自進行這些演練或使用第三方服務(wù)來增加演練的次數(shù)�。
在瞬息萬變的IT環(huán)境中,僅僅花兩周時間進行安全防御是遠遠不夠的�。
這時持續(xù)的自動滲透和攻擊測試就可以幫助你
幸運的是,市面上有一個新興的,前景無量的網(wǎng)絡(luò)安全技術(shù)市場領(lǐng)域�����,ESG稱其為連續(xù)自動滲透和攻擊測試(CAPAT)���。企業(yè)并沒有雇傭技能嫻熟的滲透測試黑客或白帽黑客來展開連續(xù)自動滲透和攻擊測試�,而是通過模擬網(wǎng)絡(luò)釣魚電子郵件��,社交工程或應(yīng)用程序?qū)勇┒粗惖募夹g(shù)來模仿攻擊者的行為���,以清除網(wǎng)絡(luò)安全鏈中的薄弱環(huán)節(jié)��。
與偏向于遵循靜態(tài)攻擊模式的人不同��,連續(xù)自動滲透和攻擊測試工具可以不斷更新以包括最新的攻擊戰(zhàn)術(shù)����,技術(shù)和程序(TTP)�����,因此組織可以根據(jù)當(dāng)前的攻擊來評估防御能力——而不僅僅是通過道德黑客所使用的久經(jīng)考驗的工具��。有些工具在察看和了解組織網(wǎng)絡(luò)的特質(zhì)時使用機器學(xué)習(xí)來對攻擊進行細微地改動����。該領(lǐng)域的供應(yīng)商包括AttackIQ、Cymulate����、Randori、SafeBreach�、Verodin和XM Cyber。
如果這些工具得到了恰當(dāng)?shù)氖褂?���,那么它們就確實可以幫組織改善網(wǎng)絡(luò)風(fēng)險的度量/管理。換句話說���,首席信息安全官可以發(fā)現(xiàn)薄弱處并先后采用補救措施����。這也有助于提高網(wǎng)絡(luò)安全支出所帶來的投資回報率���,其方法是使安全團隊能夠基于數(shù)據(jù)(而不是有根據(jù)的猜測)在最重要的領(lǐng)域投入預(yù)算資金����,。
使用連續(xù)自動滲透和攻擊測試工具的好處
如你所知����,我看好這項技術(shù)并相信企業(yè)機構(gòu)將在未來18到24個月內(nèi)對工具進行測試,試驗和部署�����。當(dāng)它們做如下的事情時:
1����、首席信息安全官(CISO)最終將具備因時制宜的網(wǎng)絡(luò)風(fēng)險度量標(biāo)準(zhǔn)可供分享。首席財務(wù)官(CFO)雖然理解增加網(wǎng)絡(luò)安全預(yù)算的必要性��,但他們似乎無法解決一個顯而易見的問題:“我所花的錢值得嗎?”首席信息安全官將使用連續(xù)自動滲透和攻擊測試工具來獲得一系列衡量指標(biāo)��,然后與高管和公司董事會共享風(fēng)險和財務(wù)管理數(shù)據(jù)�����,從而改善決策并最終回答首席財務(wù)官發(fā)起的與錢有關(guān)的查詢����。
2、紅隊和藍隊可能會變成紫隊�����。就我的經(jīng)驗來說����,由于技能,工具和流程各不相同�����,紅隊和藍隊往往會在協(xié)作方面遇到困難�����。連續(xù)自動滲透和攻擊測試工具可以提供通用數(shù)據(jù)來聯(lián)合這些團隊�����。
3��、連續(xù)自動滲透和攻擊測試可能會篡改滲透測試�����。一旦測試人員發(fā)現(xiàn)易受攻擊的系統(tǒng)或入口點����,滲透測試就會結(jié)束�����。連續(xù)自動滲透和攻擊測試有可能使高級的紅隊測試更親民�����。在這種情況下�,連續(xù)自動滲透和攻擊測試將超越滲透測試�,以證明攻擊是如何從網(wǎng)絡(luò)滲透轉(zhuǎn)移到殺傷鏈所包含的所有階段。僅此一點對于安全操作將極具價值���。
4���、連續(xù)自動滲透和攻擊測試成了SOAPA的一部分。安全事件和事件管理(SIEM)����,端點檢測和響應(yīng)(EDR)以及網(wǎng)絡(luò)流量分析(NTA)等安全操作工具往往側(cè)重于威脅管理而不是風(fēng)險管理。連續(xù)自動滲透和攻擊測試數(shù)據(jù)將為這些工具以及集成度更高的安全操作和分析平臺體系結(jié)構(gòu)(SOAPA)提供指導(dǎo)意見����,從而有助于在威脅和漏洞之間取得平衡����。當(dāng)人們在自然環(huán)境中發(fā)現(xiàn)新威脅時��,SOC團隊可以咨詢連續(xù)自動滲透和攻擊測試工具以了解自身是否容易受到類似攻擊�����。連續(xù)自動滲透和攻擊測試數(shù)據(jù)還將與MITRE ATT&CK框架等東西結(jié)合在一起�����,幫助SOC團隊描繪攻擊的特征并通過邏輯調(diào)查���。
