请选择 进入手机版 | 继续访问电脑版

GDC主机交流论坛_GDC之家

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 9|回复: 0

渗透测试自动化的真相

[复制链接]

416

主题

462

帖子

1716

积分

超级版主

Rank: 8Rank: 8

积分
1716

最佳新人活跃会员热心会员推广大使宣传大使灌水之王突出贡献优秀版主荣誉管理论坛元老

发表于 2020-7-28 15:10:19 | 显示全部楼层 |阅读模式
本帖最后由 Globaldc 于 2020-7-28 15:12 编辑

随着网络安全攻击在规模和复杂性方面的不断加码,安全团队承受的压力比以往任何时候都大。虽然渗透测试可以帮助安全团队抢先对手一步发现漏洞,但也伴随着自身固有的各种挑战。人才短缺、需测试的监管规定层出不穷,还有其他重要的日常安全职责,让网络安全人员疲于应付,捉襟见肘。想要解决这个问题,方案之一是扩展渗透测试工具中的自动化功能,既能帮助新手渗透测试员迅速上手,又方便渗透测试老鸟提高效率。自动化可提升新手测试员的技能,通过操作向导指引他们顺利完成关键的标准测试;经验丰富的测试人员则可自动化日常例程,从而节省出宝贵的时间从事更具挑战性的工作。
填补渗透测试人才缺口
网络安全项目取得成功的最大阻碍之一,就是找到具备合适资格和经验的人。网络安全人才短缺问题显而易见,合格安全人才供应赶不上需求已经是安全界的老大难问题了。渗透测试领域尤其如此。《2020渗透测试报告》显示,63%的受访者报告称,雇佣足够的资深人员进行渗透测试,是公司实现和维护渗透测试项目的最大挑战。近半数(49%)受访者称,新员工的经验不超过三年。不幸的是,黑帽子黑客和网络犯罪团伙倒是一点儿不短缺。因此,公司企业不能拖延部署关键渗透测试项目。
但是,即使存在人才短缺,企业也可以灵活运用现成的资源来构建渗透测试项目,因为并不是每项测试都需要专家来完成。如果不具备深厚的渗透测试背景,安全团队成员可以利用具有自动化功能的渗透测试工具。这些工具可用来执行简单的定期例行测试,例如验证漏洞扫描、网络信息收集、提权或网络钓鱼模拟。
维持合规
《2020渗透测试报告》还表明:鉴于如今太多行业需遵从PCI DSS、HIPAA、NERC或GDPR等安全规定,渗透测试也变得愈加重要了。95%的受访者报告称,渗透测试是公司合规计划中的重要或比较重要的一部分。大多数法规都要求公司企业有评估自身安全状态的一套方法。许多企业发现,渗透测试正是达成这一目的的最佳方法,因为渗透测试就是要在漏洞被黑客利用之前将之暴露出来。
很多必要的合规性测试相对简单,可以使用带自动化框架的渗透测试工具完成。此外,渗透测试只是合规的一部分,而安全团队须尽可能高效地符合这些法规在各个方面的要求。除了详细报告的功能,通过运用具备自动化功能的集中式工具执行多个测试,安全团队还可以节省时间,同时有效满足合规要求并证明这一点。
采用自动化平衡渗透测试的人类元素
正如攻击者使用工具突破公司企业的防御一样,渗透测试也应该利用工具来复制类似的攻击。这些工具不是用来替换人类测试员的,而是用来简化流程,处理相对重复的简单测试,以便渗透测试专家能够将时间花在深入探讨更动态的问题上。将渗透测试工具与定期采用第三方服务相结合尤其有效。这些服务可用于初始测试等任务,此类测试设置起来可能很复杂,但设置好后可以复制,供内部安全团队反复用于修复验证。但是,公司企业应仔细研究不同的服务,因为很多服务只是使用类似的测试工具,而另一些则拥有适合复杂测试的高级专业技能。
虽然“渗透测试”和“自动化”出现在同一个句子里,仍可能会吓退一些网络安全专业人员,但一旦实施,自动化工具可以填补人手短缺、简化合规和提高效率的能力,还是让他们松了一口气。



GDC主机交流论坛 https://www.globaldc.cn/
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|GDC主机交流论坛_GDC之家

GMT+8, 2020-8-8 23:47 , Processed in 0.042277 second(s), 27 queries .

Powered by Discuz! X3.4

© 2019-2020 GDC主机交流论坛

快速回复 返回顶部 返回列表