首页
下载应用
提交文章
关于我们
🔥 热搜 🔥
1
百度
2
今日热点
3
微信公众平台
4
贴吧
5
opgg
6
dnf私服
7
百度贴吧
8
知乎
9
dnf公益服
10
百度傻逼
分类
社会
娱乐
国际
人权
科技
经济
其它
首页
下载应用
提交文章
关于我们
🔥
热搜
🔥
1
百度
2
今日热点
3
微信公众平台
4
贴吧
5
opgg
6
dnf私服
7
百度贴吧
8
知乎
9
dnf公益服
10
百度傻逼
分类
社会
娱乐
国际
人权
科技
经济
其它
刑讯逼供、管辖异议,唐山杨立国涉黑案争议
大瓜!找工作太难了:私募大佬白嫖95后小姐姐事件刷屏!
深度 |台积电断供大陆芯片,任正非罕见感谢特朗普,美霸权摇摇欲坠
福建一地公示!1989年出生的她,拟提任正处
陈赫直播喊话阿哲,回应大舞台!三斤护阿哲,放话2893!骂甭旭旭宝宝,秒怂改签名!
生成图片,分享到微信朋友圈
查看原文
其他
渗透测试自动化的真相
nana
数世咨询
2022-06-08
别被跟在“渗透测试”后面的“自动化”吓到,只要应用正确,安全团队完全可以借助自动化松一口气。
随着网络安全攻击在规模和复杂性方面的不断加码,安全团队承受的压力比以往任何时候都大。虽然渗透测试可以帮助安全团队抢先对手一步发现漏洞,但也伴随着自身固有的各种挑战。人才短缺、需测试的监管规定层出不穷,还有其他重要的日常安全职责,让网络安全人员疲于应付,捉襟见肘。
想要解决这个问题,方案之一是扩展渗透测试工具中的自动化功能,既能帮助新手渗透测试员迅速上手,又方便渗透测试老鸟提高效率。自动化可提升新手测试员的技能,通过操作向导指引他们顺利完成关键的标准测试;经验丰富的测试人员则可自动化日常例程,从而节省出宝贵的时间从事更具挑战性的工作。
填补渗透测试人才缺口
网络安全项目取得成功的最大阻碍之一,就是找到具备合适资格和经验的人。网络安全人才短缺问题显而易见,合格安全人才供应赶不上需求已经是安全界的老大难问题了。渗透测试领域尤其如此。《2020渗透测试报告》显示,63%的受访者报告称,雇佣足够的资深人员进行渗透测试,是公司实现和维护渗透测试项目的最大挑战。近半数(49%)受访者称,新员工的经验不超过三年。不幸的是,黑帽子黑客和网络犯罪团伙倒是一点儿不短缺。因此,公司企业不能拖延部署关键渗透测试项目。
但是,即使存在人才短缺,企业也可以灵活运用现成的资源来构建渗透测试项目,因为并不是每项测试都需要专家来完成。如果不具备深厚的渗透测试背景,安全团队成员可以利用具有自动化功能的渗透测试工具。这些工具可用来执行简单的定期例行测试,例如验证漏洞扫描、网络信息收集、提权或网络钓鱼模拟。
维持合规
《2020渗透测试报告》还表明:鉴于如今太多行业需遵从PCI DSS、HIPAA、NERC或GDPR等安全规定,渗透测试也变得愈加重要了。95%的受访者报告称,渗透测试是公司合规计划中的重要或比较重要的一部分。大多数法规都要求公司企业有评估自身安全状态的一套方法。许多企业发现,渗透测试正是达成这一目的的最佳方法,因为渗透测试就是要在漏洞被黑客利用之前将之暴露出来。
很多必要的合规性测试相对简单,可以使用带自动化框架的渗透测试工具完成。此外,渗透测试只是合规的一部分,而安全团队须尽可能高效地符合这些法规在各个方面的要求。除了详细报告的功能,通过运用具备自动化功能的集中式工具执行多个测试,安全团队还可以节省时间,同时有效满足合规要求并证明这一点。
采用自动化平衡渗透测试的人类元素
正如攻击者使用工具突破公司企业的防御一样,渗透测试也应该利用工具来复制类似的攻击。这些工具不是用来替换人类测试员的,而是用来简化流程,处理相对重复的简单测试,以便渗透测试专家能够将时间花在深入探讨更动态的问题上。将渗透测试工具与定期采用第三方服务相结合尤其有效。这些服务可用于初始测试等任务,此类测试设置起来可能很复杂,但设置好后可以复制,供内部安全团队反复用于修复验证。但是,公司企业应仔细研究不同的服务,因为很多服务只是使用类似的测试工具,而另一些则拥有适合复杂测试的高级专业技能。
虽然“渗透测试”和“自动化”出现在同一个句子里,仍可能会吓退一些网络安全专业人员,但一旦实施,自动化工具可以填补人手短缺、简化合规和提高效率的能力,还是让他们松了一口气。
关键词:渗透测试;自动化
您可能也对以下帖子感兴趣
{{{title}}}
文章有问题?点此查看未经处理的缓存