網絡風險管理將變得更加輕松

張曉藝

新的連續自動滲透和攻擊測試（CAPAT）工具將幫助首席財務官更好地了解自身的薄弱點并先后采取最重要的補救措施。

“與兩年前相比，如今組織的網絡風險管理更加困難”，最近展開的ESG調研中有73 %的安全專業人員這樣表示。為什么會這樣呢？受訪者指向了一系列因素，如攻擊面越來越大，軟件漏洞數量不斷增加，網絡攻擊者的技術實力也在不斷提高。

那么組織應如何減輕日益增長的網絡風險呢？一種常見的方法是通過紅隊測試（red teaming）和滲透測試等演練可更好地利用現有網絡防御的力量。

許多組織已經進行了滲透測試或紅隊測試，使用所得數據來衡量安全團隊的績效，與IT領導者一起評估結果，以及對一系列安全控制措施和流程進行重新評估———這一切都是有價值的成果。

但問題就在于：大多數組織每年只進行一兩次這樣的演練。此外，ESG的研究表明，在75 %的組織中，滲透測試和紅隊測試方面的工作只能堅持2周，甚至2周不到。盡管滲透測試和紅隊測試很有價值，也十分昂貴，而且很少有組織具備專門的人員來親自進行演練，或使用第三方服務來增加演練的次數。

在瞬息萬變的IT環境中，僅花2周時間進行安全防御遠遠不夠。

持續的自動滲透和攻擊測試

幸運的是，市面上有一個新興的、前景無量的網絡安全技術市場領域，ESG稱其為連續自動滲透和攻擊測試。企業并沒有雇傭技能嫻熟的滲透測試黑客或白帽黑客來展開連續自動滲透和攻擊測試，而是通過模擬網絡釣魚電子郵件，社交工程或應用程序層漏洞之類的技術來模仿攻擊者的行為，以清除網絡安全鏈中的薄弱環節。

與偏向于遵循靜態攻擊模式的人不同，連續自動滲透和攻擊測試工具可以不斷更新最新的攻擊戰術、技術和程序（TTP），因此組織可以根據當前的攻擊來評估防御能力，而不僅僅是通過黑客所使用的久經考驗的工具。有些工具在察看和了解組織網絡的特質時使用機器學習來對攻擊進行細微改動。該領域的供應商包括AttackIQ，Cymulate，Randori，SafeBreach，Verodin，XMCyber。

如果這些工具得到恰當的使用，確實可以幫組織改善網絡風險的管理。換句話說，首席信息安全官可以發現薄弱處并先后采用補救措施。這有助于提高網絡安全支出所帶來的投資回報率，方法是使安全團隊基于數據（而不是有根據的猜測）在最重要的領域投入預算資金。

使用連續自動滲透和攻擊測試工具的好處

首席信息安全官最終將具備適宜的網絡風險度量標準可供分享。首席財務官雖然理解增加網絡安全預算的必要性，但他們似乎無法解決一個顯而易見的問題：“我所花的錢值得嗎？”首席信息安全官將使用連續自動滲透和攻擊測試工具來獲得一系列衡量指標，與高管和公司董事會共享風險和財務管理數據，從而改善決策并最終回答首席財務官發起的與錢有關的查詢。

紅隊和藍隊可能會變成紫隊。就個人的經驗來說，由于技能、工具和流程各不相同，紅隊和藍隊往往會在協作方面遇到困難。連續自動滲透和攻擊測試工具可以提供通用數據來聯合這些團隊。

連續自動滲透和攻擊測試可能會篡改滲透測試，一旦測試人員發現易受攻擊的系統或入口點，滲透測試就會結束。連續自動滲透和攻擊測試有可能使高級的紅隊測試更親民。在這種情況下，連續自動滲透和攻擊測試將超越滲透測試，以證明攻擊是如何從網絡滲透轉移到殺傷鏈所包含的所有階段。僅此一點對于安全操作將極具價值。

連續自動滲透和攻擊測試成了SOAPA的一部分。安全事件和事件管理，端點檢測和響應以及網絡流量分析等安全操作工具往往側重于威脅管理而不是風險管理。連續自動滲透和攻擊測試數據將為這些工具以及集成度更高的安全操作和分析平臺體系結構提供指導意見，從而有助于在威脅和漏洞之間取得平衡。當人們在自然環境中發現新威脅時，SOC團隊可以咨詢連續自動滲透和攻擊測試工具以了解自身是否容易受到類似攻擊。連續自動滲透和攻擊測試數據還將與MITRE ATT&CK框架等東西結合在一起，幫助SOC團隊描繪攻擊的特征并通過邏輯調查。