網(wǎng)絡(luò)風(fēng)險(xiǎn)管理將變得更加輕松
新的連續(xù)自動(dòng)滲透和攻擊測(cè)試(CAPAT)工具將幫助首席財(cái)務(wù)官(CISO)更好地了解自身的薄弱點(diǎn)并先后采取最重要的補(bǔ)救措施。
與兩年前相比,如今組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理更加困難。最近展開(kāi)的ESG調(diào)研中有73%的安全專(zhuān)業(yè)人員這樣表示。為什么會(huì)這樣呢?受訪者指向了一系列因素,如攻擊面越來(lái)越大,軟件漏洞數(shù)量不斷增加,網(wǎng)絡(luò)攻擊者的技術(shù)實(shí)力也在不斷提高。
那么組織如何減輕日益增長(zhǎng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)呢?一種常見(jiàn)的方法是通過(guò)紅隊(duì)測(cè)試(red teaming)和滲透測(cè)試等演練更好地利用現(xiàn)有網(wǎng)絡(luò)防御的力量。
許多組織已經(jīng)進(jìn)行了滲透測(cè)試或紅隊(duì)測(cè)試,使用所得數(shù)據(jù)來(lái)衡量安全團(tuán)隊(duì)的績(jī)效,與IT領(lǐng)導(dǎo)者一起評(píng)估結(jié)果,以及對(duì)一系列安全控制措施和流程進(jìn)行重新評(píng)估——這一切都是有價(jià)值的成果。
但問(wèn)題就在于:大多數(shù)組織每年只進(jìn)行一兩次這樣的演練。此外,ESG的研究表明,在75%的組織中,滲透測(cè)試和紅隊(duì)測(cè)試方面的工作只能堅(jiān)持兩周,甚至兩周都不到。盡管滲透測(cè)試和紅隊(duì)測(cè)試很有價(jià)值,但也十分昂貴,而且很少有組織具備專(zhuān)門(mén)的人員或高級(jí)技能來(lái)親自進(jìn)行這些演練或使用第三方服務(wù)來(lái)增加演練的次數(shù)。
在瞬息萬(wàn)變的IT環(huán)境中,僅僅花兩周時(shí)間進(jìn)行安全防御是遠(yuǎn)遠(yuǎn)不夠的。
這時(shí)持續(xù)的自動(dòng)滲透和攻擊測(cè)試就可以幫助你
幸運(yùn)的是,市面上有一個(gè)新興的,前景無(wú)量的網(wǎng)絡(luò)安全技術(shù)市場(chǎng)領(lǐng)域,ESG稱(chēng)其為連續(xù)自動(dòng)滲透和攻擊測(cè)試(CAPAT)。企業(yè)并沒(méi)有雇傭技能嫻熟的滲透測(cè)試黑客或白帽黑客來(lái)展開(kāi)連續(xù)自動(dòng)滲透和攻擊測(cè)試,而是通過(guò)模擬網(wǎng)絡(luò)釣魚(yú)電子郵件,社交工程或應(yīng)用程序?qū)勇┒粗?lèi)的技術(shù)來(lái)模仿攻擊者的行為,以清除網(wǎng)絡(luò)安全鏈中的薄弱環(huán)節(jié)。
與偏向于遵循靜態(tài)攻擊模式的人不同,連續(xù)自動(dòng)滲透和攻擊測(cè)試工具可以不斷更新以包括最新的攻擊戰(zhàn)術(shù),技術(shù)和程序(TTP),因此組織可以根據(jù)當(dāng)前的攻擊來(lái)評(píng)估防御能力——而不僅僅是通過(guò)道德黑客所使用的久經(jīng)考驗(yàn)的工具。有些工具在察看和了解組織網(wǎng)絡(luò)的特質(zhì)時(shí)使用機(jī)器學(xué)習(xí)來(lái)對(duì)攻擊進(jìn)行細(xì)微地改動(dòng)。該領(lǐng)域的供應(yīng)商包括AttackIQ、Cymulate、Randori、SafeBreach、Verodin和XM Cyber。
如果這些工具得到了恰當(dāng)?shù)氖褂茫敲此鼈兙痛_實(shí)可以幫組織改善網(wǎng)絡(luò)風(fēng)險(xiǎn)的度量/管理。換句話說(shuō),首席信息安全官可以發(fā)現(xiàn)薄弱處并先后采用補(bǔ)救措施。這也有助于提高網(wǎng)絡(luò)安全支出所帶來(lái)的投資回報(bào)率,其方法是使安全團(tuán)隊(duì)能夠基于數(shù)據(jù)(而不是有根據(jù)的猜測(cè))在最重要的領(lǐng)域投入預(yù)算資金,。
使用連續(xù)自動(dòng)滲透和攻擊測(cè)試工具的好處
如你所知,我看好這項(xiàng)技術(shù)并相信企業(yè)機(jī)構(gòu)將在未來(lái)18到24個(gè)月內(nèi)對(duì)工具進(jìn)行測(cè)試,試驗(yàn)和部署。當(dāng)它們做如下的事情時(shí):
- 首席信息安全官(CISO)最終將具備因時(shí)制宜的網(wǎng)絡(luò)風(fēng)險(xiǎn)度量標(biāo)準(zhǔn)可供分享。首席財(cái)務(wù)官(CFO)雖然理解增加網(wǎng)絡(luò)安全預(yù)算的必要性,但他們似乎無(wú)法解決一個(gè)顯而易見(jiàn)的問(wèn)題:“我所花的錢(qián)值得嗎?”首席信息安全官將使用連續(xù)自動(dòng)滲透和攻擊測(cè)試工具來(lái)獲得一系列衡量指標(biāo),然后與高管和公司董事會(huì)共享風(fēng)險(xiǎn)和財(cái)務(wù)管理數(shù)據(jù),從而改善決策并最終回答首席財(cái)務(wù)官發(fā)起的與錢(qián)有關(guān)的查詢。
- 紅隊(duì)和藍(lán)隊(duì)可能會(huì)變成紫隊(duì)。就我的經(jīng)驗(yàn)來(lái)說(shuō),由于技能,工具和流程各不相同,紅隊(duì)和藍(lán)隊(duì)往往會(huì)在協(xié)作方面遇到困難。連續(xù)自動(dòng)滲透和攻擊測(cè)試工具可以提供通用數(shù)據(jù)來(lái)聯(lián)合這些團(tuán)隊(duì)。
- 連續(xù)自動(dòng)滲透和攻擊測(cè)試可能會(huì)篡改滲透測(cè)試。一旦測(cè)試人員發(fā)現(xiàn)易受攻擊的系統(tǒng)或入口點(diǎn),滲透測(cè)試就會(huì)結(jié)束。連續(xù)自動(dòng)滲透和攻擊測(cè)試有可能使高級(jí)的紅隊(duì)測(cè)試更親民。在這種情況下,連續(xù)自動(dòng)滲透和攻擊測(cè)試將超越滲透測(cè)試,以證明攻擊是如何從網(wǎng)絡(luò)滲透轉(zhuǎn)移到殺傷鏈所包含的所有階段。僅此一點(diǎn)對(duì)于安全操作將極具價(jià)值。
- 連續(xù)自動(dòng)滲透和攻擊測(cè)試成了SOAPA的一部分。安全事件和事件管理(SIEM),端點(diǎn)檢測(cè)和響應(yīng)(EDR)以及網(wǎng)絡(luò)流量分析(NTA)等安全操作工具往往側(cè)重于威脅管理而不是風(fēng)險(xiǎn)管理。連續(xù)自動(dòng)滲透和攻擊測(cè)試數(shù)據(jù)將為這些工具以及集成度更高的安全操作和分析平臺(tái)體系結(jié)構(gòu)(SOAPA)提供指導(dǎo)意見(jiàn),從而有助于在威脅和漏洞之間取得平衡。當(dāng)人們?cè)谧匀画h(huán)境中發(fā)現(xiàn)新威脅時(shí),SOC團(tuán)隊(duì)可以咨詢連續(xù)自動(dòng)滲透和攻擊測(cè)試工具以了解自身是否容易受到類(lèi)似攻擊。連續(xù)自動(dòng)滲透和攻擊測(cè)試數(shù)據(jù)還將與MITRE ATT&CK框架等東西結(jié)合在一起,幫助SOC團(tuán)隊(duì)描繪攻擊的特征并通過(guò)邏輯調(diào)查。
