网络风险管理将变得更加轻松

张晓艺

新的连续自动渗透和攻击测试（CAPAT）工具将帮助首席财务官更好地了解自身的薄弱点并先后采取最重要的补救措施。

“与两年前相比，如今组织的网络风险管理更加困难”，最近展开的ESG调研中有73 %的安全专业人员这样表示。为什么会这样呢？受访者指向了一系列因素，如攻击面越来越大，软件漏洞数量不断增加，网络攻击者的技术实力也在不断提高。

那么组织应如何减轻日益增长的网络风险呢？一种常见的方法是通过红队测试（red teaming）和渗透测试等演练可更好地利用现有网络防御的力量。

许多组织已经进行了渗透测试或红队测试，使用所得数据来衡量安全团队的绩效，与IT领导者一起评估结果，以及对一系列安全控制措施和流程进行重新评估———这一切都是有价值的成果。

但问题就在于：大多数组织每年只进行一两次这样的演练。此外，ESG的研究表明，在75 %的组织中，渗透测试和红队测试方面的工作只能坚持2周，甚至2周不到。尽管渗透测试和红队测试很有价值，也十分昂贵，而且很少有组织具备专门的人员来亲自进行演练，或使用第三方服务来增加演练的次数。

在瞬息万变的IT环境中，仅花2周时间进行安全防御远远不够。

持续的自动渗透和攻击测试

幸运的是，市面上有一个新兴的、前景无量的网络安全技术市场领域，ESG称其为连续自动渗透和攻击测试。企业并没有雇佣技能娴熟的渗透测试黑客或白帽黑客来展开连续自动渗透和攻击测试，而是通过模拟网络钓鱼电子邮件，社交工程或应用程序层漏洞之类的技术来模仿攻击者的行为，以清除网络安全链中的薄弱环节。

与偏向于遵循静态攻击模式的人不同，连续自动渗透和攻击测试工具可以不断更新最新的攻击战术、技术和程序（TTP），因此组织可以根据当前的攻击来评估防御能力，而不仅仅是通过黑客所使用的久经考验的工具。有些工具在察看和了解组织网络的特质时使用机器学习来对攻击进行细微改动。该领域的供应商包括AttackIQ，Cymulate，Randori，SafeBreach，Verodin，XMCyber。

如果这些工具得到恰当的使用，确实可以帮组织改善网络风险的管理。换句话说，首席信息安全官可以发现薄弱处并先后采用补救措施。这有助于提高网络安全支出所带来的投资回报率，方法是使安全团队基于数据（而不是有根据的猜测）在最重要的领域投入预算资金。

使用连续自动渗透和攻击测试工具的好处

首席信息安全官最终将具备适宜的网络风险度量标准可供分享。首席财务官虽然理解增加网络安全预算的必要性，但他们似乎无法解决一个显而易见的问题：“我所花的钱值得吗？”首席信息安全官将使用连续自动渗透和攻击测试工具来获得一系列衡量指标，与高管和公司董事会共享风险和财务管理数据，从而改善决策并最终回答首席财务官发起的与钱有关的查询。

红队和蓝队可能会变成紫队。就个人的经验来说，由于技能、工具和流程各不相同，红队和蓝队往往会在协作方面遇到困难。连续自动渗透和攻击测试工具可以提供通用数据来联合这些团队。

连续自动渗透和攻击测试可能会篡改渗透测试，一旦测试人员发现易受攻击的系统或入口点，渗透测试就会结束。连续自动渗透和攻击测试有可能使高级的红队测试更亲民。在这种情况下，连续自动渗透和攻击测试將超越渗透测试，以证明攻击是如何从网络渗透转移到杀伤链所包含的所有阶段。仅此一点对于安全操作将极具价值。

连续自动渗透和攻击测试成了SOAPA的一部分。安全事件和事件管理，端点检测和响应以及网络流量分析等安全操作工具往往侧重于威胁管理而不是风险管理。连续自动渗透和攻击测试数据将为这些工具以及集成度更高的安全操作和分析平台体系结构提供指导意见，从而有助于在威胁和漏洞之间取得平衡。当人们在自然环境中发现新威胁时，SOC团队可以咨询连续自动渗透和攻击测试工具以了解自身是否容易受到类似攻击。连续自动渗透和攻击测试数据还将与MITRE ATT&CK框架等东西结合在一起，帮助SOC团队描绘攻击的特征并通过逻辑调查。