未來(lái)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理將會(huì)變得更加輕松

（文章來(lái)源：企業(yè)網(wǎng)）

新的連續(xù)自動(dòng)滲透和攻擊測(cè)試（CAPAT）工具將幫助首席財(cái)務(wù)官（CISO）更好地了解自身的薄弱點(diǎn)并先后采取最重要的補(bǔ)救措施。

與兩年前相比，如今組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理更加困難。最近展開的ESG調(diào)研中有73%的安全專業(yè)人員這樣表示。為什幺會(huì)這樣呢？受訪者指向了一系列因素，如攻擊面越來(lái)越大，軟件漏洞數(shù)量不斷增加，網(wǎng)絡(luò)攻擊者的技術(shù)實(shí)力也在不斷提高。

那幺組織如何減輕日益增長(zhǎng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)呢？一種常見的方法是通過(guò)紅隊(duì)測(cè)試（red teaming）和滲透測(cè)試等演練更好地利用現(xiàn)有網(wǎng)絡(luò)防御的力量。許多組織已經(jīng)進(jìn)行了滲透測(cè)試或紅隊(duì)測(cè)試，使用所得數(shù)據(jù)來(lái)衡量安全團(tuán)隊(duì)的績(jī)效，與IT領(lǐng)導(dǎo)者一起評(píng)估結(jié)果，以及對(duì)一系列安全控制措施和流程進(jìn)行重新評(píng)估——這一切都是有價(jià)值的成果。

但問(wèn)題就在于：大多數(shù)組織每年只進(jìn)行一兩次這樣的演練。此外，ESG的研究表明，在75%的組織中，滲透測(cè)試和紅隊(duì)測(cè)試方面的工作只能堅(jiān)持兩周，甚至兩周都不到。盡管滲透測(cè)試和紅隊(duì)測(cè)試很有價(jià)值，但也十分昂貴，而且很少有組織具備專門的人員或高級(jí)技能來(lái)親自進(jìn)行這些演練或使用第叁方服務(wù)來(lái)增加演練的次數(shù)。

在瞬息萬(wàn)變的IT環(huán)境中，僅僅花兩周時(shí)間進(jìn)行安全防御是遠(yuǎn)遠(yuǎn)不夠的。

幸運(yùn)的是，市面上有一個(gè)新興的，前景無(wú)量的網(wǎng)絡(luò)安全技術(shù)市場(chǎng)領(lǐng)域，ESG稱其為連續(xù)自動(dòng)滲透和攻擊測(cè)試（CAPAT）。企業(yè)并沒(méi)有雇傭技能嫻熟的滲透測(cè)試黑客或白帽黑客來(lái)展開連續(xù)自動(dòng)滲透和攻擊測(cè)試，而是通過(guò)模擬網(wǎng)絡(luò)釣魚電子郵件，社交工程或應(yīng)用程序?qū)勇┒粗惖募夹g(shù)來(lái)模仿攻擊者的行為，以清除網(wǎng)絡(luò)安全鏈中的薄弱環(huán)節(jié)。

與偏向于遵循靜態(tài)攻擊模式的人不同，連續(xù)自動(dòng)滲透和攻擊測(cè)試工具可以不斷更新以包括最新的攻擊戰(zhàn)術(shù)，技術(shù)和程序（TTP），因此組織可以根據(jù)當(dāng)前的攻擊來(lái)評(píng)估防御能力——而不僅僅是通過(guò)道德黑客所使用的久經(jīng)考驗(yàn)的工具。有些工具在察看和了解組織網(wǎng)絡(luò)的特質(zhì)時(shí)使用機(jī)器學(xué)習(xí)來(lái)對(duì)攻擊進(jìn)行細(xì)微地改動(dòng)。該領(lǐng)域的供應(yīng)商包括AttackIQ、Cymulate、Randori、SafeBreach、Verodin和XM Cyber。

如果這些工具得到了恰當(dāng)?shù)氖褂?，那幺它們就確實(shí)可以幫組織改善網(wǎng)絡(luò)風(fēng)險(xiǎn)的度量/管理。換句話說(shuō)，首席信息安全官可以發(fā)現(xiàn)薄弱處并先后采用補(bǔ)救措施。這也有助于提高網(wǎng)絡(luò)安全支出所帶來(lái)的投資回報(bào)率，其方法是使安全團(tuán)隊(duì)能夠基于數(shù)據(jù)（而不是有根據(jù)的猜測(cè)）在最重要的領(lǐng)域投入預(yù)算資金。