自動化滲透工具:CAPAT 令網絡風險管理將變得更加輕松
責編:gltian |2019-10-14 16:19:47新型連續自動化滲透和攻擊測試 (Continuous Automated Penetration and Attack Testing, CAPAT) 工具將幫助首席信息安全官們更好地了解他們的弱點,并確定修復工作的優先級。
組織機構如何降低日益增長的網絡風險?一種常見的方法是通過紅隊測試和滲透測試等演習,更好地掌握現有的網絡防御能力。
很多組織機構已經通過實施滲透測試或紅隊測試,根據所得數據來衡量安全團隊的表現,并與 IT 主管們一起審查結果,重新評估安全控制和流程——這些都是有價值的。
但問題是:大多數組織機構每年都會進行一到兩次這樣的演戲。此外,ESG 研究表明,在 75% 的組織機構中,滲透測試和紅色測試僅持續兩周或更短的時間。雖然滲透測試和紅隊測試很有價值,但成本可能很高,而且很少有組織機構擁有專業人員或高級技能來自己進行這些演習,或者通過第三方服務來提高測試頻率。
在瞬息萬變的 IT 環境中,僅僅花兩周時間進行安全防御工作是遠遠不夠的。
連續自動化滲透和攻擊測試可能能幫得上忙
幸運的是,有一個新興的有前途的網絡安全技術市場,ESG 稱其為連續自動滲透和攻擊測試 (CAPAT)。CAPAT 并沒有雇用經驗豐富的滲透測試團隊或白帽黑客,而是通過模擬網絡釣魚郵件,社會工程或應用層漏洞等技術來模仿攻擊者的行為,以排查網絡安全鏈中的薄弱環節。
與傾向于靜態攻擊模式的人不同,CAPAT 工具可以不斷更新,以覆蓋最新的攻擊戰術、技術和過程 (TTPs),這樣組織機構就可以評估他們對當前攻擊的防御能力——而不僅僅是通過靠得住的白帽黑客工具集。一些工具在掃描和學習組織機構網絡特性時,能夠通過機器學習對攻擊方式稍作調整。該領域的供應商包括 AttackIQ、Cymulate、Randori、SafeBreach、Verodin 和 XM Cyber。
正確使用這些工具可以真正幫助組織機構改善網絡風險度量/管理。換句話說,CISO 們可以了解他們的弱點,并確定修復工作的優先級。這也能夠提高網絡安全支出的投資回報率,使安全團隊能夠根據數據而不是有根據的推測,把預算用在高優先級領域。
使用CAPAT工具的好處
你可能看出來我看好這項技術,而且我相信組織機構將在未來 18 到 24 個月內測試、試點和部署工具。當他們這樣做時:
首席信息安全官們終于擁有了能夠展示的實時網絡風險指標。首席財務官們明白增加網絡安全預算的必要性,但對于一個顯而易見的問題他們似乎無法得到答案:“我的錢能帶來什么?” 首席信息安全官們將通過 CAPAT 工具得到指標,然后和高管以及公司董事會呈現風險和財務管理數據,以提高決策能力,并最終回答首席財務官對資金的疑問。
紅隊和藍隊可能會翻臉。以我的經驗,由于技能,工具和流程的不同,紅隊和藍隊經常在協作方面存在問題。CAPAT 工具可以提供通用數據來統一這些團隊。
CAPAT 可能會主導滲透測試。一旦測試人員發現一個易受攻擊的系統或入口,滲透測試可能就會結束。CAPAT 有民主化高級紅隊的潛力。在這種情況下, CAPAT 將推進滲透測試,演示攻擊如何從網絡滲透影響整個殺傷鏈。僅這一點就對安全工作極有價值。
CAPAT 成為了 SOAPA 的一部分。安全運行工具,如安全事件和事件管理 (SIEM)、端點檢測和響應 (EDR) 和網絡流量分析 (NTA),往往側重于威脅管理,而不是風險管理。CAPAT 數據將成為這些工具,以及更集成的安全運行和分析平臺架構 (Security Operations and Analytics Platform Architecture, SOAPA) 的重要輸入,以幫助應對威脅和漏洞。當發現新的威脅時,SOC 團隊可以通過 CAPAT 工具來了解自己是否容易受到類似的攻擊。CAPAT 數據還將與 MITER ATT&CK 框架等內容結合起來,幫助 SOC 團隊特征化模擬攻擊并指導他們進行有邏輯的調查。