新的连续自动渗透和攻击测试(CAPAT)工具将帮助首席财务官(CISO)更好地了解自己的弱点,并优先考虑最重要的补救措施。今天组织的网络风险管理比两年前更加困难。在最近的一项ESG调查中,73%的安全专业人士这样表示。这是为什么?受访者指出了一系列因素,例如攻击面的扩大、软件漏洞数量的增加以及网络攻击者技术实力的提高。那么组织如何减轻日益增长的网络风险呢?一种常见的方法是通过红队和渗透测试等演习更好地利用现有网络防御的力量。许多组织已经进行了渗透测试或红队测试,使用生成的数据来衡量安全团队的绩效,与IT领导一起审查结果,并重新评估一系列安全控制和流程——所有这些都对结果有价值。但问题是:大多数组织每年只进行一两次这样的演习。此外,ESG研究表明,在75%的组织中,渗透测试和红队测试只能持续两周或更短时间。虽然渗透测试和红队很有价值,但它们也很昂贵,而且很少有组织拥有专门的人员或高级技能来自行进行这些演练或使用第三方服务来增加演练的数量。在瞬息万变的IT环境中,仅用两周的时间进行安全防御是远远不够的。这就是持续自动渗透和攻击测试可以提供帮助的地方。幸运的是,ESG称之为持续自动渗透和攻击测试(CAPAT),这是一个新兴且前景广阔的网络安全技术细分市场。企业不是聘请熟练的渗透测试黑客或白帽黑客进行连续的自动化渗透和攻击测试,而是通过模拟网络钓鱼电子邮件、社会工程或应用层漏洞等技术来模仿攻击者的行为。消除网络安全链中的薄弱环节。与那些倾向于遵循静态攻击模式的人不同,持续的自动化渗透和攻击测试工具可以不断更新以包括最新的攻击策略、技术和程序(TTP),因此组织可以评估针对当前攻击的防御措施——而不仅仅是通过尝试以及道德黑客使用的经过测试的工具。一些工具在查看和理解组织网络的特性时使用机器学习来微调攻击。该领域的供应商包括AttackIQ、Cymulate、Randori、SafeBreach、Verodin和XMCyber??。如果使用得当,这些工具确实可以帮助组织改进网络风险的衡量/管理。换句话说,CISO可以发现弱点并按顺序采取补救措施。它还使安全团队能够根据数据而不是有根据的猜测,将预算资金花在最重要的地方,从而有助于提高网络安全支出的投资回报率。使用连续自动化渗透和攻击测试工具的好处如您所知,我看好这项技术,并相信组织将在未来18到24个月内测试、试验和部署工具。当他们这样做时:首席信息安全官(CISO)最终将及时分享网络风险指标。虽然首席财务官(CFO)了解增加网络安全预算的必要性,但他们似乎无法解决这个显而易见的问题:“这值得我花钱吗?”CISO将使用连续的自动化渗透和攻击测试工具来访问一系列指标,然后与高管和公司董事会共享风险和财务管理数据,以改进决策并最终回答CFO与金钱相关的询问。红队和蓝队可以变成紫色。根据我的经验,由于技能、工具和流程的差异,红队和蓝队经常难以协作。持续的自动化渗透和攻击测试工具可以提供通用数据来团结这些团队。连续的自动化渗透和攻击测试可以伪造渗透测试。一旦测试人员找到易受攻击的系统或入口点,渗透测试就会结束。持续的自动化渗透和攻击测试有可能使高级红队测试更容易获得。在这种情况下,持续的自动化渗透和攻击测试将超越渗透测试,以证明攻击如何从网络渗透转移到杀伤链中的所有阶段。仅此一项对于安全操作就非常有价值。连续的自动化渗透和攻击测试成为SOAPA的一部分。安全事件和事件管理(SIEM)、端点检测和响应(EDR)以及网络流量分析(NTA)等安全运营工具往往侧重于威胁管理而非风险管理。持续的自动化渗透和攻击测试数据将为这些工具以及更集成的安全运营和分析平台架构(SOAPA)提供信息,帮助在威胁和漏洞之间取得平衡。当在野外发现新的威胁时,SOC团队可以参考持续的自动化渗透和攻击测试工具,看看它们是否容易受到类似攻击。持续的自动化渗透和攻击测试数据也将与MITREATT&CK框架等相结合,以帮助SOC团队描述攻击特征并通过逻辑调查。
