最近,由Informa Tech代表CyCognito,就人工渗透测试方面的问题对超过100名在有3,000名员工企业的IT和安全经理进行了调研。
调研指出,进行渗透测试的主要驱动原因是衡量企业的安全态势(70%)以及防范攻击事件(69%)。不过,在一些其他回复中也表达了对渗透测试能否实现这些需求的广泛担忧。
最大的顾虑在于渗透测试无法覆盖整个架构,从而产生盲点(60%)。渗透测试只会检查已知资产,而非发现和测试在云环境中被遗忘,或者未被识别的资产(47%)。同时,渗透测试成本过高,无法进一步使用(44%)。另外,渗透测试的结果只能提供周期性的当下环境快照,甚至可能在测试后的第二天就不再准确(36%)。
这些问题并不针对渗透测试人员。渗透测试人员依然提供“在某个时间点上,对特定隐患产生的攻击面的检查能力。”这句话意味着手动渗透测试依然在客户最重要的资产的测试中依然有一席之地,但前提条件是已经对整体攻击面进行了自动化的监测。
渗透测试无法覆盖整个攻击面的主要原因是成本。79%的受访者表示,渗透测试过于昂贵;78%的受访者认为,高成本导致无法对所有应用进行测试;76%的受访者认为高成本阻碍了更高的测试频率。总体来说,12%的受访者每年在渗透测试上花费超过100万美元,而有8%的受访者每年花费在50万到100万美元之间。
35%的受访者每年在渗透测试上的花费甚至低于10万美元——这就引发了疑问:是否那些在渗透测试上进行最小投入的企业仅仅是为了合规才进行渗透测试?值得注意的是,合规需求恰恰是渗透测试的第三驱动力,有65%的受访人表达对合规的驱动需求。
除了成本之外,手动渗透测试的另一个考量点是覆盖面。其中,占60%的最大顾虑,是手动渗透测试只覆盖有限的一部分攻击面,从而留下了大量的盲点。47%的受访者还担心渗透测试只会针对已知资产,而不会发现新的或者未知资产。
事实上,47%的受访者人认为渗透测试覆盖了不到公司攻击面的一半。38%的受访者相信渗透测试覆盖了超过一半的攻击面,而还有10%认为并不清楚渗透测试覆盖了多少攻击面。
覆盖面的缺乏不仅影响到了攻击面,还影响到了时效性。由于渗透测试的成本偏高,只能不常进行。就算一家企业在测试的那天有不错的安全状态并且符合安全规范,在其余的时间里完全可能安全一团糟并且不合规。
而在实际情况中,一家企业可能永远无法通过渗透测试了解自己安全态势的真实状态,因为在24%的测试中,需要测试两周后才能得到测试报告。在这段时间中,新的隐患可能就会出现,而这些隐患绝无可能被测试人员发现。
毫无疑问,数字架构的规模会随着企业数字化进程和云端资产的增加而扩大;另外由于WFH造成的资产分散性,意味着手动渗透测试可能完全无法保护现代的网络。
报告中提到:“企业需要持续发现企业中所有暴露给攻击者的资产,以及隶属于下属公司、合作伙伴、供应商和云服务商等相关紧密联系的环境。”
CyCognito的CEO兼联合创始人Rob Gurzeev还提到:“安全测试应该能够告诉企业攻击者能看到什么,能利用什么;这样,防守方才能对攻击采取相应措施。但如果企业只能看到他们已知的资产,只测试一部分他们的攻击面,并且每年只做几次测试的时候,对攻击的防范就几乎不可能了。因此,这份报告最大的价值在于体现了一个矛盾:企业期望通过渗透测试获得的东西,和实际上他们从渗透测试获得的结果,是完全两码事。”
