渗透测试自动化的真相

Globaldc

随着网络安全攻击在规模和复杂性方面的不断加码，安全团队承受的压力比以往任何时候都大。虽然渗透测试可以帮助安全团队抢先对手一步发现漏洞，但也伴随着自身固有的各种挑战。人才短缺、需测试的监管规定层出不穷，还有其他重要的日常安全职责，让网络安全人员疲于应付，捉襟见肘。想要解决这个问题，方案之一是扩展渗透测试工具中的自动化功能，既能帮助新手渗透测试员迅速上手，又方便渗透测试老鸟提高效率。自动化可提升新手测试员的技能，通过操作向导指引他们顺利完成关键的标准测试；经验丰富的测试人员则可自动化日常例程，从而节省出宝贵的时间从事更具挑战性的工作。
填补渗透测试人才缺口
网络安全项目取得成功的最大阻碍之一，就是找到具备合适资格和经验的人。网络安全人才短缺问题显而易见，合格安全人才供应赶不上需求已经是安全界的老大难问题了。渗透测试领域尤其如此。《2020渗透测试报告》显示，63%的受访者报告称，雇佣足够的资深人员进行渗透测试，是公司实现和维护渗透测试项目的最大挑战。近半数（49%）受访者称，新员工的经验不超过三年。不幸的是，黑帽子黑客和网络犯罪团伙倒是一点儿不短缺。因此，公司企业不能拖延部署关键渗透测试项目。
但是，即使存在人才短缺，企业也可以灵活运用现成的资源来构建渗透测试项目，因为并不是每项测试都需要专家来完成。如果不具备深厚的渗透测试背景，安全团队成员可以利用具有自动化功能的渗透测试工具。这些工具可用来执行简单的定期例行测试，例如验证漏洞扫描、网络信息收集、提权或网络钓鱼模拟。
维持合规
《2020渗透测试报告》还表明：鉴于如今太多行业需遵从PCI DSS、HIPAA、NERC或GDPR等安全规定，渗透测试也变得愈加重要了。95%的受访者报告称，渗透测试是公司合规计划中的重要或比较重要的一部分。大多数法规都要求公司企业有评估自身安全状态的一套方法。许多企业发现，渗透测试正是达成这一目的的最佳方法，因为渗透测试就是要在漏洞被黑客利用之前将之暴露出来。
很多必要的合规性测试相对简单，可以使用带自动化框架的渗透测试工具完成。此外，渗透测试只是合规的一部分，而安全团队须尽可能高效地符合这些法规在各个方面的要求。除了详细报告的功能，通过运用具备自动化功能的集中式工具执行多个测试，安全团队还可以节省时间，同时有效满足合规要求并证明这一点。
采用自动化平衡渗透测试的人类元素
正如攻击者使用工具突破公司企业的防御一样，渗透测试也应该利用工具来复制类似的攻击。这些工具不是用来替换人类测试员的，而是用来简化流程，处理相对重复的简单测试，以便渗透测试专家能够将时间花在深入探讨更动态的问题上。将渗透测试工具与定期采用第三方服务相结合尤其有效。这些服务可用于初始测试等任务，此类测试设置起来可能很复杂，但设置好后可以复制，供内部安全团队反复用于修复验证。但是，公司企业应仔细研究不同的服务，因为很多服务只是使用类似的测试工具，而另一些则拥有适合复杂测试的高级专业技能。
虽然“渗透测试”和“自动化”出现在同一个句子里，仍可能会吓退一些网络安全专业人员，但一旦实施，自动化工具可以填补人手短缺、简化合规和提高效率的能力，还是让他们松了一口气。