與兩年前相比,如今組織的網絡風險管理更加困難。最近展開的ESG調研中有73%的安全專業(yè)人員這樣表示。為什么會這樣呢?受訪者指向了一系列因素,如攻擊面越來越大,軟件漏洞數量不斷增加,網絡攻擊者的技術實力也在不斷提高。
那么組織如何減輕日益增長的網絡風險呢?一種常見的方法是通過紅隊測試(red teaming)和滲透測試等演練更好地利用現有網絡防御的力量。
許多組織已經進行了滲透測試或紅隊測試,使用所得數據來衡量安全團隊的績效,與IT領導者一起評估結果,以及對一系列安全控制措施和流程進行重新評估——這一切都是有價值的成果。
但問題就在于:大多數組織每年只進行一兩次這樣的演練。此外,ESG的研究表明,在75%的組織中,滲透測試和紅隊測試方面的工作只能堅持兩周,甚至兩周都不到。盡管滲透測試和紅隊測試很有價值,但也十分昂貴,而且很少有組織具備專門的人員或高級技能來親自進行這些演練或使用第三方服務來增加演練的次數。
在瞬息萬變的IT環(huán)境中,僅僅花兩周時間進行安全防御是遠遠不夠的。
這時持續(xù)的自動滲透和攻擊測試就可以幫助你
幸運的是,市面上有一個新興的,前景無量的網絡安全技術市場領域,ESG稱其為連續(xù)自動滲透和攻擊測試(CAPAT)。企業(yè)并沒有雇傭技能嫻熟的滲透測試黑客或白帽黑客來展開連續(xù)自動滲透和攻擊測試,而是通過模擬網絡釣魚電子郵件,社交工程或應用程序層漏洞之類的技術來模仿攻擊者的行為,以清除網絡安全鏈中的薄弱環(huán)節(jié)。
與偏向于遵循靜態(tài)攻擊模式的人不同,連續(xù)自動滲透和攻擊測試工具可以不斷更新以包括最新的攻擊戰(zhàn)術,技術和程序(TTP),因此組織可以根據當前的攻擊來評估防御能力——而不僅僅是通過道德黑客所使用的久經考驗的工具。有些工具在察看和了解組織網絡的特質時使用機器學習來對攻擊進行細微地改動。該領域的供應商包括AttackIQ、Cymulate、Randori、SafeBreach、Verodin和XM Cyber。
如果這些工具得到了恰當的使用,那么它們就確實可以幫組織改善網絡風險的度量/管理。換句話說,首席信息安全官可以發(fā)現薄弱處并先后采用補救措施。這也有助于提高網絡安全支出所帶來的投資回報率,其方法是使安全團隊能夠基于數據(而不是有根據的猜測)在最重要的領域投入預算資金,。
使用連續(xù)自動滲透和攻擊測試工具的好處
如你所知,我看好這項技術并相信企業(yè)機構將在未來18到24個月內對工具進行測試,試驗和部署。當它們做如下的事情時:
•首席信息安全官(CISO)最終將具備因時制宜的網絡風險度量標準可供分享。首席財務官(CFO)雖然理解增加網絡安全預算的必要性,但他們似乎無法解決一個顯而易見的問題:“我所花的錢值得嗎?”首席信息安全官將使用連續(xù)自動滲透和攻擊測試工具來獲得一系列衡量指標,然后與高管和公司董事會共享風險和財務管理數據,從而改善決策并最終回答首席財務官發(fā)起的與錢有關的查詢。
•紅隊和藍隊可能會變成紫隊。就我的經驗來說,由于技能,工具和流程各不相同,紅隊和藍隊往往會在協作方面遇到困難。連續(xù)自動滲透和攻擊測試工具可以提供通用數據來聯合這些團隊。
•連續(xù)自動滲透和攻擊測試可能會篡改滲透測試。一旦測試人員發(fā)現易受攻擊的系統(tǒng)或入口點,滲透測試就會結束。連續(xù)自動滲透和攻擊測試有可能使高級的紅隊測試更親民。在這種情況下,連續(xù)自動滲透和攻擊測試將超越滲透測試,以證明攻擊是如何從網絡滲透轉移到殺傷鏈所包含的所有階段。僅此一點對于安全操作將極具價值。
•連續(xù)自動滲透和攻擊測試成了SOAPA的一部分。安全事件和事件管理(SIEM),端點檢測和響應(EDR)以及網絡流量分析(NTA)等安全操作工具往往側重于威脅管理而不是風險管理。連續(xù)自動滲透和攻擊測試數據將為這些工具以及集成度更高的安全操作和分析平臺體系結構(SOAPA)提供指導意見,從而有助于在威脅和漏洞之間取得平衡。當人們在自然環(huán)境中發(fā)現新威脅時,SOC團隊可以咨詢連續(xù)自動滲透和攻擊測試工具以了解自身是否容易受到類似攻擊。連續(xù)自動滲透和攻擊測試數據還將與MITRE ATT&CK框架等東西結合在一起,幫助SOC團隊描繪攻擊的特征并通過邏輯調查。
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號