新型连续自动化渗透和攻击测试 (Continuous Automated Penetration and Attack Testing, CAPAT) 工具将帮助首席信息安全官们更好地了解他们的弱点,并确定修复工作的优先级。

与两年前相比,如今企业中的网络风险管理工作变得更加困难。在最近的一项 ESG 研究调查中,73% 的安全专家如是说。(注:原文作者为 ESG 员工。)为什么会这样呢?受访者指出,攻击面不断扩大,软件漏洞数量不断增加,网络攻击者的技术实力也在不断提高。

组织机构如何降低日益增长的网络风险?一种常见的方法是通过红队测试和渗透测试等演习,更好地掌握现有的网络防御能力。

很多组织机构已经通过实施渗透测试或红队测试,根据所得数据来衡量安全团队的表现,并与 IT 主管们一起审查结果,重新评估安全控制和流程——这些都是有价值的。

但问题是:大多数组织机构每年都会进行一到两次这样的演戏。此外,ESG 研究表明,在 75% 的组织机构中,渗透测试和红色测试仅持续两周或更短的时间。虽然渗透测试和红队测试很有价值,但成本可能很高,而且很少有组织机构拥有专业人员或高级技能来自己进行这些演习,或者通过第三方服务来提高测试频率。

在瞬息万变的 IT 环境中,仅仅花两周时间进行安全防御工作是远远不够的。

连续自动化渗透和攻击测试可能能帮得上忙

幸运的是,有一个新兴的有前途的网络安全技术市场,ESG 称其为连续自动渗透和攻击测试 (CAPAT)。CAPAT 并没有雇用经验丰富的渗透测试团队或白帽黑客,而是通过模拟网络钓鱼邮件,社会工程或应用层漏洞等技术来模仿攻击者的行为,以排查网络安全链中的薄弱环节。

与倾向于静态攻击模式的人不同,CAPAT 工具可以不断更新,以覆盖最新的攻击战术、技术和过程 (TTPs),这样组织机构就可以评估他们对当前攻击的防御能力——而不仅仅是通过靠得住的白帽黑客工具集。一些工具在扫描和学习组织机构网络特性时,能够通过机器学习对攻击方式稍作调整。该领域的供应商包括 AttackIQ、Cymulate、Randori、SafeBreach、Verodin 和 XM Cyber。

正确使用这些工具可以真正帮助组织机构改善网络风险度量/管理。换句话说,CISO 们可以了解他们的弱点,并确定修复工作的优先级。这也能够提高网络安全支出的投资回报率,使安全团队能够根据数据而不是有根据的推测,把预算用在高优先级领域。

使用CAPAT工具的好处

你可能看出来我看好这项技术,而且我相信组织机构将在未来 18 到 24 个月内测试、试点和部署工具。当他们这样做时:

首席信息安全官们终于拥有了能够展示的实时网络风险指标。首席财务官们明白增加网络安全预算的必要性,但对于一个显而易见的问题他们似乎无法得到答案:“我的钱能带来什么?” 首席信息安全官们将通过 CAPAT 工具得到指标,然后和高管以及公司董事会呈现风险和财务管理数据,以提高决策能力,并最终回答首席财务官对资金的疑问。

红队和蓝队可能会翻脸。以我的经验,由于技能,工具和流程的不同,红队和蓝队经常在协作方面存在问题。CAPAT 工具可以提供通用数据来统一这些团队。

CAPAT 可能会主导渗透测试。一旦测试人员发现一个易受攻击的系统或入口,渗透测试可能就会结束。CAPAT 有民主化高级红队的潜力。在这种情况下, CAPAT 将推进渗透测试,演示攻击如何从网络渗透影响整个杀伤链。仅这一点就对安全工作极有价值。

CAPAT 成为了 SOAPA 的一部分。安全运行工具,如安全事件和事件管理 (SIEM)、端点检测和响应 (EDR) 和网络流量分析 (NTA),往往侧重于威胁管理,而不是风险管理。CAPAT 数据将成为这些工具,以及更集成的安全运行和分析平台架构 (Security Operations and Analytics Platform Architecture, SOAPA) 的重要输入,以帮助应对威胁和漏洞。当发现新的威胁时,SOC 团队可以通过 CAPAT 工具来了解自己是否容易受到类似的攻击。CAPAT 数据还将与 MITER ATT&CK 框架等内容结合起来,帮助 SOC 团队特征化模拟攻击并指导他们进行有逻辑的调查。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。