應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊(cè)個(gè)人注冊(cè)登錄

人工滲透測試之死?

2021-07-15 17:42 數(shù)世咨詢

導(dǎo)讀:最近,由Informa Tech代表CyCognito,就人工滲透測試方面的問題對(duì)超過100名在有3,000名員工企業(yè)的IT和安全經(jīng)理進(jìn)行了調(diào)研。

最近,由Informa Tech代表CyCognito,就人工滲透測試方面的問題對(duì)超過100名在有3,000名員工企業(yè)的IT和安全經(jīng)理進(jìn)行了調(diào)研。

調(diào)研指出,進(jìn)行滲透測試的主要驅(qū)動(dòng)原因是衡量企業(yè)的安全態(tài)勢(70%)以及防范攻擊事件(69%)。不過,在一些其他回復(fù)中也表達(dá)了對(duì)滲透測試能否實(shí)現(xiàn)這些需求的廣泛擔(dān)憂。

最大的顧慮在于滲透測試無法覆蓋整個(gè)架構(gòu),從而產(chǎn)生盲點(diǎn)(60%)。滲透測試只會(huì)檢查已知資產(chǎn),而非發(fā)現(xiàn)和測試在云環(huán)境中被遺忘,或者未被識(shí)別的資產(chǎn)(47%)。同時(shí),滲透測試成本過高,無法進(jìn)一步使用(44%)。另外,滲透測試的結(jié)果只能提供周期性的當(dāng)下環(huán)境快照,甚至可能在測試后的第二天就不再準(zhǔn)確(36%)。

這些問題并不針對(duì)滲透測試人員。滲透測試人員依然提供“在某個(gè)時(shí)間點(diǎn)上,對(duì)特定隱患產(chǎn)生的攻擊面的檢查能力?!边@句話意味著手動(dòng)滲透測試依然在客戶最重要的資產(chǎn)的測試中依然有一席之地,但前提條件是已經(jīng)對(duì)整體攻擊面進(jìn)行了自動(dòng)化的監(jiān)測。

滲透測試無法覆蓋整個(gè)攻擊面的主要原因是成本。79%的受訪者表示,滲透測試過于昂貴;78%的受訪者認(rèn)為,高成本導(dǎo)致無法對(duì)所有應(yīng)用進(jìn)行測試;76%的受訪者認(rèn)為高成本阻礙了更高的測試頻率。總體來說,12%的受訪者每年在滲透測試上花費(fèi)超過100萬美元,而有8%的受訪者每年花費(fèi)在50萬到100萬美元之間。

35%的受訪者每年在滲透測試上的花費(fèi)甚至低于10萬美元——這就引發(fā)了疑問:是否那些在滲透測試上進(jìn)行最小投入的企業(yè)僅僅是為了合規(guī)才進(jìn)行滲透測試?值得注意的是,合規(guī)需求恰恰是滲透測試的第三驅(qū)動(dòng)力,有65%的受訪人表達(dá)對(duì)合規(guī)的驅(qū)動(dòng)需求。

除了成本之外,手動(dòng)滲透測試的另一個(gè)考量點(diǎn)是覆蓋面。其中,占60%的最大顧慮,是手動(dòng)滲透測試只覆蓋有限的一部分攻擊面,從而留下了大量的盲點(diǎn)。47%的受訪者還擔(dān)心滲透測試只會(huì)針對(duì)已知資產(chǎn),而不會(huì)發(fā)現(xiàn)新的或者未知資產(chǎn)。

事實(shí)上,47%的受訪者人認(rèn)為滲透測試覆蓋了不到公司攻擊面的一半。38%的受訪者相信滲透測試覆蓋了超過一半的攻擊面,而還有10%認(rèn)為并不清楚滲透測試覆蓋了多少攻擊面。

覆蓋面的缺乏不僅影響到了攻擊面,還影響到了時(shí)效性。由于滲透測試的成本偏高,只能不常進(jìn)行。就算一家企業(yè)在測試的那天有不錯(cuò)的安全狀態(tài)并且符合安全規(guī)范,在其余的時(shí)間里完全可能安全一團(tuán)糟并且不合規(guī)。

而在實(shí)際情況中,一家企業(yè)可能永遠(yuǎn)無法通過滲透測試了解自己安全態(tài)勢的真實(shí)狀態(tài),因?yàn)樵?4%的測試中,需要測試兩周后才能得到測試報(bào)告。在這段時(shí)間中,新的隱患可能就會(huì)出現(xiàn),而這些隱患絕無可能被測試人員發(fā)現(xiàn)。

毫無疑問,數(shù)字架構(gòu)的規(guī)模會(huì)隨著企業(yè)數(shù)字化進(jìn)程和云端資產(chǎn)的增加而擴(kuò)大;另外由于WFH造成的資產(chǎn)分散性,意味著手動(dòng)滲透測試可能完全無法保護(hù)現(xiàn)代的網(wǎng)絡(luò)。

報(bào)告中提到:“企業(yè)需要持續(xù)發(fā)現(xiàn)企業(yè)中所有暴露給攻擊者的資產(chǎn),以及隸屬于下屬公司、合作伙伴、供應(yīng)商和云服務(wù)商等相關(guān)緊密聯(lián)系的環(huán)境。”

CyCognito的CEO兼聯(lián)合創(chuàng)始人Rob Gurzeev還提到:“安全測試應(yīng)該能夠告訴企業(yè)攻擊者能看到什么,能利用什么;這樣,防守方才能對(duì)攻擊采取相應(yīng)措施。但如果企業(yè)只能看到他們已知的資產(chǎn),只測試一部分他們的攻擊面,并且每年只做幾次測試的時(shí)候,對(duì)攻擊的防范就幾乎不可能了。因此,這份報(bào)告最大的價(jià)值在于體現(xiàn)了一個(gè)矛盾:企業(yè)期望通過滲透測試獲得的東西,和實(shí)際上他們從滲透測試獲得的結(jié)果,是完全兩碼事。”