信息化觀察網(wǎng)

最近，由Informa Tech代表CyCognito，就人工滲透測試方面的問題對超過100名在有3,000名員工企業(yè)的IT和安全經(jīng)理進行了調(diào)研。

調(diào)研指出，進行滲透測試的主要驅(qū)動原因是衡量企業(yè)的安全態(tài)勢（70%）以及防范攻擊事件（69%）。不過，在一些其他回復中也表達了對滲透測試能否實現(xiàn)這些需求的廣泛擔憂。

最大的顧慮在于滲透測試無法覆蓋整個架構，從而產(chǎn)生盲點（60%）。滲透測試只會檢查已知資產(chǎn)，而非發(fā)現(xiàn)和測試在云環(huán)境中被遺忘，或者未被識別的資產(chǎn)（47%）。同時，滲透測試成本過高，無法進一步使用（44%）。另外，滲透測試的結果只能提供周期性的當下環(huán)境快照，甚至可能在測試后的第二天就不再準確（36%）。

這些問題并不針對滲透測試人員。滲透測試人員依然提供“在某個時間點上，對特定隱患產(chǎn)生的攻擊面的檢查能力。”這句話意味著手動滲透測試依然在客戶最重要的資產(chǎn)的測試中依然有一席之地，但前提條件是已經(jīng)對整體攻擊面進行了自動化的監(jiān)測。

滲透測試無法覆蓋整個攻擊面的主要原因是成本。79%的受訪者表示，滲透測試過于昂貴；78%的受訪者認為，高成本導致無法對所有應用進行測試；76%的受訪者認為高成本阻礙了更高的測試頻率?？傮w來說，12%的受訪者每年在滲透測試上花費超過100萬美元，而有8%的受訪者每年花費在50萬到100萬美元之間。

35%的受訪者每年在滲透測試上的花費甚至低于10萬美元——這就引發(fā)了疑問：是否那些在滲透測試上進行最小投入的企業(yè)僅僅是為了合規(guī)才進行滲透測試？值得注意的是，合規(guī)需求恰恰是滲透測試的第三驅(qū)動力，有65%的受訪人表達對合規(guī)的驅(qū)動需求。

除了成本之外，手動滲透測試的另一個考量點是覆蓋面。其中，占60%的最大顧慮，是手動滲透測試只覆蓋有限的一部分攻擊面，從而留下了大量的盲點。47%的受訪者還擔心滲透測試只會針對已知資產(chǎn)，而不會發(fā)現(xiàn)新的或者未知資產(chǎn)。

事實上，47%的受訪者人認為滲透測試覆蓋了不到公司攻擊面的一半。38%的受訪者相信滲透測試覆蓋了超過一半的攻擊面，而還有10%認為并不清楚滲透測試覆蓋了多少攻擊面。

覆蓋面的缺乏不僅影響到了攻擊面，還影響到了時效性。由于滲透測試的成本偏高，只能不常進行。就算一家企業(yè)在測試的那天有不錯的安全狀態(tài)并且符合安全規(guī)范，在其余的時間里完全可能安全一團糟并且不合規(guī)。

而在實際情況中，一家企業(yè)可能永遠無法通過滲透測試了解自己安全態(tài)勢的真實狀態(tài)，因為在24%的測試中，需要測試兩周后才能得到測試報告。在這段時間中，新的隱患可能就會出現(xiàn)，而這些隱患絕無可能被測試人員發(fā)現(xiàn)。

毫無疑問，數(shù)字架構的規(guī)模會隨著企業(yè)數(shù)字化進程和云端資產(chǎn)的增加而擴大；另外由于WFH造成的資產(chǎn)分散性，意味著手動滲透測試可能完全無法保護現(xiàn)代的網(wǎng)絡。

報告中提到：“企業(yè)需要持續(xù)發(fā)現(xiàn)企業(yè)中所有暴露給攻擊者的資產(chǎn)，以及隸屬于下屬公司、合作伙伴、供應商和云服務商等相關緊密聯(lián)系的環(huán)境。”

CyCognito的CEO兼聯(lián)合創(chuàng)始人Rob Gurzeev還提到：“安全測試應該能夠告訴企業(yè)攻擊者能看到什么，能利用什么；這樣，防守方才能對攻擊采取相應措施。但如果企業(yè)只能看到他們已知的資產(chǎn)，只測試一部分他們的攻擊面，并且每年只做幾次測試的時候，對攻擊的防范就幾乎不可能了。因此，這份報告最大的價值在于體現(xiàn)了一個矛盾：企業(yè)期望通過滲透測試獲得的東西，和實際上他們從滲透測試獲得的結果，是完全兩碼事。”