近日,以InformaTech为代表的CyCognito,就手动渗透测试对拥有3000名员工的公司的100多名IT和安全经理进行了调查。调查指出,渗透测试的主要驱动原因是衡量企业的安全态势(70%)和预防攻击事件(69%)。然而,在其他一些回复中也表达了对渗透测试满足这些需求的能力的普遍担忧。最大的担忧是渗透测试无法覆盖整个架构,造成盲点(60%)。渗透测试仅检查已知资产,而不是发现和测试云环境中被遗忘或未识别的资产(47%)。同时,渗透测试过于昂贵而无法进一步使用(44%)。此外,渗透测试的结果只是提供当前环境的周期性快照,甚至可能在测试后的第二天都不准确(36%)。这些问题不是针对渗透测试人员的。渗透测试人员仍然提供“在某个时间点,检查特定隐患产生的攻击面的能力”。这句话的意思是,在客户最重要资产的测试中,人工渗透测试还是有一席之地的,但前提是,对整体攻击面的监控已经自动化。渗透测试无法覆盖整个攻击面的主要原因是成本。79%的受访者表示渗透测试太贵;78%的受访者认为高成本阻碍了所有应用程序的测试;76%的受访者认为高昂的成本阻碍了更高的测试频率。总体而言,12%的受访者每年在渗透测试上的支出超过100万美元,而8%的受访者每年的支出在50万至100万美元之间。35%的受访者每年在渗透测试上的花费甚至不到100,000美元——这引出了一个问题:在渗透测试上投资最少的组织是否只是为了合规性才这样做?值得注意的是,合规性要求恰恰是渗透测试的第三大驱动力,65%的受访者表示合规性驱动的要求。除了成本之外,手动渗透测试的另一个考虑因素是覆盖率。其中,占60%的最大担忧是人工渗透测试只覆盖了有限的部分攻击面,留下了大量的盲点。47%的受访者还担心渗透测试只会针对已知资产,而不会发现新的或未知的资产。事实上,47%的受访者认为渗透测试覆盖的公司攻击面不到一半。38%的受访者认为渗透测试覆盖了一半以上的攻击面,而10%的受访者认为不清楚渗透测试覆盖了多少攻击面。覆盖不足不仅影响攻击面,也影响时效性。由于渗透测试成本高昂,只能偶尔进行。即使一个组织拥有良好的安全态势并且在测试当天是合规的,其余时间完全有可能一团糟并且不合规。在现实中,企业可能永远无法通过渗透测试了解其安全态势的真实状态,因为在24%的测试中,需要两周时间才能得到测试报告。在这段时间里,可能会出现新的隐患,而这些隐患是绝对不可能被测试人员发现的。毫无疑问,数字化架构的规模将随着企业数字化和云资产的增加而扩大;此外,WFH造成的资产分散意味着人工渗透测试可能根本无法保护现代网络。报告中提到:“企业需要不断发现企业内所有暴露给攻击者的资产,以及关联公司、合作伙伴、供应商、云服务提供商等密切相关的环境。”CyCognito的CEO和联合创始人RobGurzeev也提到:“安全测试应该能够告诉企业攻击者可以看到什么,可以使用什么;以便防御者可以相应地应对攻击。但是如果企业只能看他们知道的资产,只测试他们攻击面的一部分,而且每年只测试几次,几乎不可能防止攻击。因此,这份报告最大的价值在于反映了一个矛盾:企业希望通过渗透达到什么目的测试,以及他们从渗透测试中实际得到的是一个完全不同的故事。”
