資金充裕也擋不住網絡攻擊

自動化安全驗證公司Pentera近期發布的報告表明，資金充裕的多層網絡安全系統無法保護美國和歐洲的企業免遭網絡攻擊。

報告基于對300位CIO、CISO和安全高管的調研，探查其當前IT與安全預算和網絡安全驗證實踐方面的情況。報告指出，金融放緩對網絡安全預算的影響微乎其微。

Pentera首席營銷官Aviv Cohen在新聞稿中表示：“我們看到越來越多的公司加快了滲透測試的節奏，但我們真正需要實現的是橫跨整個公司的持續驗證。年度滲透測試評估只會讓安全團隊在一年中大多數時間里都對自己的安全態勢一無所知。安全團隊需要利用自動化安全驗證解決方案來更新關于自身暴露情況的信息。”

滲透測試是測試計算機系統、網絡和Web應用程序的一種實踐，目的是發現有可能被攻擊者利用的漏洞。滲透測試在受控環境下模擬對系統或應用程序的攻擊，從而發現安全漏洞，并給出修復建議。

深度防御方法不足以保障安全

調查發現，公司平均部署近44個安全解決方案，也就是說，公司遵循深度防御（亦稱深度安全）方法，布設多種安全解決方案最大限度地為重要資產提供防護。然而，盡管部署了大量安全措施，88%的受訪公司也承認，在過去兩年中經歷過網絡安全事件。

調研結果符合其他專家的觀察所得。

“深度防御不僅僅是預防，攻擊檢測與響應也是這種策略的一部分。”佛瑞斯特研究所分析師Erik Nost表示，“事實上，正是這些深度防御策略檢出了公司的安全事件并緩解了事件影響。如今，公司的攻擊面不斷擴張，總有尚未了解的部分。評估攻擊面可能會找出諸多漏洞與暴露，需要逐個確定優先級再花時間修復。”

報告指出，2023年，全球經濟放緩可能不會影響到網絡安全預算。調研結果顯示，92%的受訪公司增加了自身IT安全預算。85%增加了用于滲透測試的預算。

Pentera客戶運營副總裁Chen Tene在新聞稿中表示：“雖然CISO必須更加重視整個安全技術棧的驗證，但我很高興看到安全團隊可以拿到保護自家企業所需的預算。”

安全驗證是滲透測試的主要驅動力

報告發現，盡管最初的滲透測試需求源自監管要求，執行滲透測試的關鍵原因卻是安全驗證、潛在破壞評估，以及網絡安全保險。

僅22%的受訪者將合規視為進行滲透測試的主要動機，表明監管或行政要求不是滲透測試背后的主要驅動力。

“在我們2020年的調查中，監管合規是CISO給出的第二大原因，如今，這個原因已經掉落到榜尾了。”Cohen稱，“這是種積極的轉變，表明安全高管并沒有坐等監管要求他們采取一步的動作。”

新冠肺炎疫情導致網絡攻擊激增，在此背景下，網絡安全保單成了另一大滲透測試推動因素：36%的調查參與者認為網絡安全保單是其進行滲透測試的主要原因。這與2020年的調查結果形成了鮮明對比，當時僅2%的受訪者認為網絡安全保險是他們做滲透測試的首要驅動力。

“有時候，來自監察機構或管理機構的初始推動，正是一些企業認清現實做出改變所需要的。”Nost稱，“但安全解決方案、技術和威脅會不斷發展，監管要求卻不太可能隨之演變，繼續適用。”

報告發現，82%的受訪公司已經在以某種方式實現滲透測試。不過，采用滲透測試的主要障礙在于對業務連續性的擔憂。無論是正在進行滲透測試的公司，還是沒有進行滲透測試的公司，在考慮增加滲透測試頻率的時候都將業務連續性風險作為自己的主要關注點。

無論手動還是自動，已經進行滲透測試的受訪者中，大約45%表示，業務應用程序或網絡可用性的風險令自己無法增加滲透測試頻率；而根本沒有進行滲透測試評估的受訪者中，這么認為的受訪者占56%。