网络安全较量：利用自动化渗透测试构建弹性

“拳击手从他的陪练对手那里获得最大的优势……”
——爱比克泰德，公元 50-135 年

举起双手，收下下巴，弯曲膝盖。铃声响起，两位拳击手在中心和圆圈相遇。红方发出三记刺拳，佯攻第四次，然后——砰——右手击中蓝方中心。

这不是布鲁的第一天，尽管他在镜子前防守很稳固，但他还是感到了压力。但拳击场上发生了一些变化；拳击的多样性、假动作、强度——与他的教练模拟的完全不同。我的防守足够强吗？他想知道，我到底有没有防守能力？

教练安慰他说：“如果不是你一直练习，你根本无法防守住前几次刺拳。你已经有了防守的本领，现在需要调整一下。而这在拳击场上是会发生的。”

网络安全也不例外。您可以部署正确的架构、策略和安全措施，但防御中哪怕最小的漏洞都可能让攻击者一击致命。测试您准备就绪情况的唯一方法是承受压力，在拳击场上进行对抗。

练习和真正的战斗之间的区别#

在拳击比赛中，陪练伙伴很多。每天，拳击手都会踏入拳击场，与真正的对手磨练技能。但在网络安全领域，陪练伙伴却很少。渗透测试也是如此，但一般组织每年只进行一次渗透测试，最多每季度进行一次。它需要大量准备，聘请昂贵的专业机构，并隔离要测试的环境。因此，安全团队通常几个月都不会遇到真正的对抗活动。他们遵守规定，举起双手，低着头。但他们在受到攻击时能坚韧不拔吗？

缺乏检测的后果#

1. 漂移：防守的缓慢侵蚀#

当拳击手几个月没有练习拳击时，他们的直觉就会变得迟钝。他成了“寸步难行”的受害者，他有正确的防守动作，但却错失良机，被他知道如何防守的击打击中。在网络安全中，这类似于配置漂移：环境的渐进式变化，无论是新用户、过时的资产、不再有人看管的端口，还是防御校准的逐渐丧失。随着时间的推移，漏洞就会出现，这并不是因为防御消失了，而是因为它们已经失去平衡。

2. 未被发现的差距：影子拳击的极限#

拳击手和教练在训练中只能取得有限的进展。练习拳击和练习会有所帮助，但教练不会指出不明显的错误，因为这些错误可能会让拳击手处于弱势。他们也无法复制真实对手的不可预测性。出错的可能性实在是太多了。教练评估拳击手状态的唯一方法是观察他是如何被击中的，然后诊断出原因。

同样，在网络安全领域，攻击面非常广泛且不断演变。没有任何一项渗透测试评估可以预测所有可能的攻击媒介并检测出所有漏洞。发现漏洞的唯一方法是针对真实的攻击场景反复测试。

3. 测试范围有限：部分测试的危险#

教练需要看到他们的拳手与各种对手对抗。他可能对付主要以爆头为主的对手没问题，但对付身体拳击手或反击拳击手呢？这些可能是需要改进的地方。如果安全团队只针对特定类型的威胁进行测试，而不扩大其范围以应对其他漏洞，无论是暴露的密码还是错误配置，他们都有可能会让自己暴露在攻击者找到的任何薄弱接入点之下。例如，Web 应用程序可能是安全的，但泄露的凭证或可疑的 API 集成怎么办？

在确定修复优先级时，背景很重要#

并非所有漏洞都能致命一击。正如拳击手的独特风格可以弥补技术缺陷一样，网络安全中的补偿控制可以降低风险。以穆罕默德·阿里为例，按照教科书标准，他的防守存在缺陷，但他的运动能力和适应能力使他无懈可击。同样，弗洛伊德·梅威瑟的低前手可能看起来像一个弱点，但他的肩部转动使其成为防守优势。

在网络安全领域，漏洞扫描程序通常会突出显示数十个（甚至数百个）问题。但并非所有问题都是关键问题。所有 IT 环境都不同，高严重性 CVE 可能会被补偿控制（例如网络分段或严格的访问策略）所抵消。上下文是关键，因为它提供了必要的理解，即哪些问题需要立即关注，哪些问题不需要。

不频繁检测的成本高昂#

与真实对手进行测试的价值并不是什么新鲜事。拳击手通过拳击练习为比赛做准备。网络安全团队进行渗透测试以加强防御。但如果拳击手每次拳击练习都要花费数万美元怎么办？他们的学习只能在拳击场上进行——在比赛期间——而失败的代价将是毁灭性的。

这是许多组织的现实。传统的渗透测试成本高昂、耗时长，而且范围往往有限。因此，许多团队每年只测试一两次，几个月来防御措施都得不到检验。当攻击发生时，漏洞就会暴露出来，而且成本很高。

持续主动的测试#

为了真正加强防御能力，组织必须超越不定期的年度测试。相反，他们需要持续的自动化测试来模拟现实世界的攻击。这些工具可以模拟对抗活动，发现漏洞并提供切实可行的见解，包括在哪里加强安全控制、如何重新校准防御，以及提供精确的补救措施。所有这些都是定期进行的，而且没有传统测试的高成本。

通过将自动安全验证与人类专业知识相结合，组织可以保持强大的防御态势并适应不断变化的威胁。

原文始发于微信公众号（河南等级保护测评）：网络安全较量：利用自动化渗透测试构建弹性