网络威胁预防与身份治理解决方案提供商Fortra Core Security最近发布了《2023年渗透测试报告》,内容丰富,发人深省。今年的报告中,IT决策者可以了解到同行进行渗透测试的动机、频率、方式等信息。
每一年,Fortra Core Security都会收集行业数据,产出有关渗透测试现状的重要信息。以下便是今年渗透测试报告的简要概述。
01
为什么要进行渗透测试?
被问及“你为什么要进行渗透测试?”时,受访安全从业人员的回答似乎并未偏离主线。
他们的首要任务是评估风险和安排修复(69%)。其次是漏洞管理支持(62%)。在此之后才是遵循外部网络安全策略(58%)或内部策略(40%)的义务。总共有8%的受访安全从业人员未指明测试原因。
这些结果表明,大多数情况下,团队采取积极主动的企业安全方法。他们利用可用资源抢先应对隐藏威胁,避免在遭攻击者突破后才知道自己有多落后。即使“只是”为了遵循既定标准,这难道不是这些标准存在的初衷?
那么,公司非常担忧的安全问题有哪些?面对这个多项选择问题,调查结果显示受访者列出了:
• 网络钓鱼(70%)
• 错误配置(58%)
• 国际威胁(54%)
• 缺乏修复(49%)
还有其他五类威胁位列其后。有意思的是,相较于去年,今年对恶意软件的关注度更高,而对网络钓鱼的担忧倒是没那么多了。
02
渗透测试最难的部分是什么?
虽然是公司安全自我认知的重要部分,但渗透测试确实有其难点。对此,受访人员给出了自己的答案:
• 无法聘用到足够的人员进行渗透测试(内部)(38%)
• 难以获得管理层认同和支持(31%)
• 没有足够的适格第三方进行渗透测试(30%)
以上所有问题都归结于缺乏资源,这是可以理解的。审查环境中有无漏洞并加以利用需要时间。想要充分利用时间和资源而非白白浪费是需要专业知识和经验的。
不过,这些问题可能是公司愿意面对的,因为其意图胜过了困难。大部分(73%)受访者称,渗透测试是其整体安全态势的“重要”部分,即使存在上述障碍,他们也会找办法进行渗透测试。
由于大多数(58%)受访者也只对其安全态势的有效性“有点信心”,似乎攻击性安全措施仍会被用来加强企业的安全态势。
03
内部还是第三方:趋势如何?
公司试图缓解资源可用性的问题,在内部和外部渗透测试之间取舍。
内部渗透测试的好处包括可以随时进行测试和随时间推移逐步扩大范围。经过培训的员工可以传承知识经验,成为这一领域自给自足的生产者,从而有望削减成本和提升梳理新变化的频率,防止两次外部测试之间出现滞后。调研结果显示,去年内部渗透测试方法增长了7%。
渗透测试(正确执行的)需要较高水平的技术、攻击性安全能力和专业知识。但不是所有人都具备这些东西,而培训企业现有的任何力量都有可能会比雇佣外部团队花费更多(且产出更少)。
托管(或第三方)渗透测试服务还有个好处:公司可以换个角度看问题。开发人员或安全运营中心(SOC)员工转岗的渗透测试员往往自己就是基础设施的建设者,很容易因为熟悉而产生盲点。雇佣外部团队可以让公司更准确、更真实地了解真正的黑客会如何破坏自身生态,而不仅仅是内部人员又搞一轮质量控制。
问及为什么采用外部渗透测试人员时,受访公司回答道:
• 为了让环境适应不同的技能(50%)
• 为了满足合规要求(45%)
• 内部技术人员不足(38%)
今年的调研报告指出,多数(34%)内部团队的渗透测试经验在2~3年之间,24%的团队具备4~5年的渗透测试经验,略少于三分之一(32%)的团队拥有六年或更长的渗透测试经验。
04
结语
在努力应对网络攻击性的同时,企业还必须应对网络技术人员短缺资源持续紧张的复杂局面。
外聘有助于公司尽量提升任何渗透测试资源的投资回报率(ROI)和补充内部渗透测试工作。外部渗透测试服务团队经验老道,能够全面审视目标生态,确保不漏掉任何细微差别,每家企业都能从二次审视中获益,尤其是执行者经验丰富的情况下。
利用这些攻击性安全技术(及其他技术)有助于企业掌控自身环境,确立起领先攻击者一步的安全态势。
Fortra Core Security《2023年渗透测试报告》获取地址:
https://www.fortra.com/resources/guides/2023-pen-testing-report
注:图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。
更多推荐
原文始发于微信公众号(数世咨询):Fortra《2023年渗透测试报告》解读
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论