随着应用程序部署方式和环境的更改不断变化,加上且网络攻击变得越来越复杂和频繁,每年执行一次安全测试来了解组织的安全漏洞已经不够。如果不集成持续的测试,组织很可能面临合规问题或暴露潜在的安全漏洞,从而来带安全风险及经济损失。
通过以下5个步骤,可以在组织中采用和实施持续安全测试。
第 1 步:改变思维方式
提高安全性状态的第一步始于改变对安全性测试方法的思维方式。由于在固定时间点进行渗透测试不再足以了解全年的安全状态,因此需要改变对安全性评估的思维,当前组织更需要尽可能频繁地进行安全测试,从而在第一时间发现并解决安全问题。
第 2 步:了解并清点攻击面
组织需要知道有哪些方面需要进行保护。随着组织通过迁移到云、每天部署应用程序和更新以及通过远程设备扩大其覆盖范围,组织面临的攻击面只会增加。然而,许多企业不知道他们拥有哪些资产,对于云或者环境当前的状态及来自第三方的资产缺乏可见性。如果缺少对资产的了解,测试结果也可能遗漏未经测试的系统和未知的安全风险。
第 3 步:确定渗透测试解决方案
在寻找持续渗透测试的解决方案时,需要研究的一些关键领域包括:
尽可能多的了解进行测试的信息,如:是如何进行测试的?如果可能的话,查看过去的测试,看看在哪些系统中检测到了什么问题。
了解接收有关测试发现的警报和信息,如:将如何收到提醒,是电子邮件还是其他形式?是否便于查看搜索。如果是测试平台,如何实时了解正在测试的内容,以及团队如何与平台集成。
了解进行测试的成本多少。查看价格所能带来的安全价值。此外了解费用是否包含多次复核测试。
第 4 步:寻找混合方法
43% 的 CISO 认为生成式 AI 为网络防御者提供了优势,比一年前的 17% 有所增加,寻找一种将人工智能和自动化与人类接触相结合的解决方案,使用人工智能协助识别和自动测试新的攻击面。通过使用混合方法,可以在测试中获得全面的了解,也可以了解对业务相关的影响。
第 5 步:使用组合测试提高覆盖面
持续测试有助于了解真正的安全状态,以及找到需要在哪里采取补救措施的有效方法。可以帮助组织更全面了解和改进安全状态的四种常见测试类型包括:
外部渗透测试:外部渗透测试可帮助您发现现实世界的黑客用来破坏和利用的风险和安全漏洞。外部渗透测试可发现网站、资产、服务、配置和身份验证过程中的安全漏洞。还可以发现被遗忘和易受攻击的应用程序,以及更不常见的攻击路径。
内部渗透测试:组织还需要保护其关键的资产免受内部威胁,模拟攻击者横向移动并提升权限以访问组织的基础设施。
社会工程学:员工也可能对重要的资产构成大的风险,因此还需要通过不同的社会工程活动测试组织的安全态势和控制措施,包括网络钓鱼、电话钓鱼、短信钓鱼、交换条件、借口和水坑攻击。
Web 应用程序测试:静态应用程序安全检测工具在编码期间发现代码中的缺陷及漏洞,提高代码安全性和规范。动态应用程序安全测试检测软件运行时的安全漏洞和配置问题。使用开源组件分析工具来查找来自第三方库的安全漏洞和许可证等问题。
参读链接:
https://www.cybersecurity-insiders.com/how-to-prepare-your-organization-for-the-future-with-continuous-security-testing/
