风险管理将变得更加轻松
|
有网络防御的力量。 许多组织已经进行了渗透测试或红队测试,使用所得数据来衡量安全团队的绩效,与IT领导者一起评估结果,以及对一系列安全控制措施和流程进行重新评估——这一切都是有价值的成果。 但问题就在于:大多数组织每年只进行一两次这样的演练。此外,ESG的研究表明,在75%的组织中,渗透测试和红队测试方面的工作只能坚持两周,甚至两周都不到。尽管渗透测试和红队测试很有价值,但也十分昂贵,而且很少有组织具备专门的人员或高级技能来亲自进行这些演练或使用第三方服务来增加演练的次数。 在瞬息万变的IT环境中,仅仅花两周时间进行安全防御是远远不够的。 这时持续的自动渗透和攻击测试就可以帮助你 幸运的是,市面上有一个新兴的,前景无量的网络安全技术市场领域,ESG称其为连续自动渗透和攻击测试(CAPAT)。企业并没有雇佣技能娴熟的渗透测试黑客或白帽黑客来展开连续自动渗透和攻击测试,而是通过模拟网络钓鱼电子邮件,社交工程或应用程序层漏洞之类的技术来模仿攻击者的行为,以清除网络安全链中的薄弱环节。 与偏向于遵循静态攻击模式的人不同,连续自动渗透和攻击测试工具可以不断更新以包括最新的攻击战术,技术和程序(TTP),因此组织可以根据当前的攻击来评估防御能力——而不仅仅是通过道德黑客所使用的久经考验的工具。有些工具在察看和了解组织网络的特质时使用机器学习来对攻击进行细微地改动。该领域的供应商包括AttackIQ、Cymulate、Randori、SafeBreach、Verodin和XM Cyber。 如果这些工具得到了恰当的使用,那么它们就确实可以帮组织改善网络风险的度量/管理。换句话说,首席信息安全官可以发现薄弱处并先后采用补救措施。这也有助于提高网络安全支出所带来的投资回报率,其方法是使安全团队能够基于数据(而不是有根据的猜测)在最重要的领域投入预算资金,。 使用连续自动渗透和攻击测试工具的好处
如你所知,我看好这项技术并相信企业机构将在未来18到24个月内对工具进行测试,试验和部署。当它们做如下的事情时: (编辑:阿坝站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
