在本次 Help Net Security 采访中, Ambionics Security运营主管 Charles d’Hondt谈到了实施持续渗透测试的必要性,因为每年的渗透测试是不够的。它们留下了盲点,无法满足定期发布的安全需求和不断变化的威胁形势。
为了超越这一点,安全和开发团队必须更好地沟通,在安全问题报告中整合有关漏洞重现和建议的清晰细节,并为开发人员提供时间和培训来解决安全问题并提高他们的知识。
许多组织已经习惯了年度渗透测试。关于他们可能生活在的“盲点”,您会告诉他们什么?
事实证明,每年的渗透测试可以有效地发现漏洞,但它们缺乏满足定期发布的安全需求和不断变化的威胁形势的能力。
等待长达一年的安全测试将使组织对新代码版本或公开披露的代码引入的漏洞一无所知。
已知技术上的新漏洞每天都会出现,需要针对具有攻击能力的组织攻击面进行实时检查。
速度是威胁行为者和安全团队之间解决这些漏洞的最重要因素,并且能够立即检查攻击面的新漏洞可能会改变游戏规则。
在过去的十多年里,Web 应用程序的构建方式发生了巨大的变化。Scrum、敏捷等迭代方法论、架构的演进、微服务的普及、云的采用,导致了代码的频繁发布、基础设施的修改和服务的不断迭代。
如果没有在每次迭代中进行适当的审查,这些弱点可能会很多。
部署新服务时云 IAM ACL 的微小变化可能会对每个链接的服务造成毁灭性的影响,并且等待数月等待下一次渗透测试来检测新漏洞是非常有问题的。
年度渗透测试仍然是大多数公司的默认做法,并且在过去十年中一直如此。
应引入新的更新实践,包括持续的应用程序和基础设施渗透测试。
开发人员有时将持续渗透测试视为障碍。您认为这是为什么?如何解决?
如果持续渗透测试被视为时间和资源限制或安全和开发团队之间缺乏沟通,那么开发人员可能会对持续渗透测试持负面看法。
不断出现的新安全问题可能会导致开发人员转移注意力,特别是在短而敏捷的开发周期中,可能会被视为障碍并减慢进程。
此外,安全性可能不像新功能那么重要并被降级,这不允许提供解决安全问题所需的资源,例如时间或培训。
持续渗透测试在安全行业中也可能意味着不同的事情,不应与自动扫描仪混淆,后者可能会产生过于冗长且充满误报的报告,导致开发人员感到非常沮丧。
这些问题可以通过多种方式解决:
- 更好地整合安全问题报告,并提供有关漏洞重现和建议的明确详细信息
- 开发人员和渗透测试人员之间已建立的、易于使用的沟通渠道
- 分配给开发人员的资源,例如时间和培训,以解决安全问题并提高他们的安全知识
就 PCI 等多重测试合规性要求而言,持续渗透测试如何简化这一流程?
持续渗透测试在合规性要求方面具有许多优势。例如,PCI DSS要求每 12 个月进行一次渗透测试,或者“在任何重大基础设施或应用程序升级或更改后”,持续渗透测试将符合这方面要求,并且在一年内的多次应用程序更改中具有成本效益。
此外,PCI DSS 要求每三个月进行一次 ASV 扫描,并且除了持续渗透测试之外,许多渗透测试即服务平台 (PaaST) 还可以选择管理这些类型的扫描。
您能否提供一个示例,说明持续渗透测试帮助公司识别因云和 DevOps 环境快速变化而产生的漏洞?
我们的案例是一家拥有快节奏 DevOps 周期的公司,在发布新版本的 Web 应用程序时,自动工具会发出有关资产更改的警报。
这触发了警报的手动限定和渗透测试,配置的更改允许暴露新的路由,从而导致命令执行和服务器的完全接管。
几个小时后,向客户发出了实时警报。
有了调整测试结果和优先级的能力,公司如何确保他们的持续渗透测试报告与当前威胁保持相关性?
通过动态门户和安全与开发技术团队之间易于使用的沟通渠道进行实时报告,使公司能够调整其在漏洞修复、风险评估和优先级方面的需求。
持续渗透测试供应商通常每周重新检查所有漏洞,从而对攻击面进行最新的风险评估。
鉴于网络威胁的快速发展,您认为持续渗透测试的未来走向如何?
持续渗透测试本身就是一些组织当前实践的演变,应该得到更广泛的采用。
我相信持续渗透测试的未来在于两个主要的演变。
第一个,它能够提供与组织工具和流程的完整集成,以简化实时报告和通信。
第二个演进将在于它能够同步和集成外部攻击面管理 ( EASM ) 和网络威胁情报 (CTI) 解决方案,以提供详尽且完整的保护。
EASM 解决方案将能够通过持续渗透测试提供要监控的组织的详尽资产列表。目标是向客户提供可供攻击者(特别是影子 IT )使用的攻击面的更新且详尽的图片。
并且CTI解决方案将提供各种泄漏,其中一些可以通过持续的渗透测试来对CTI警报带来的风险进行完整的评估。
例如,可以在受监控的资产上获取并利用暗网论坛泄露的特定组织的秘密。这将导致实时警报和全面的风险评估。
发表评论
您还未登录,请先登录。
登录