CyCognito:手動滲透測試無法覆蓋整個架構

最近，由Informa Tech代表CyCognito，就人工滲透測試方面的問題對超過100名在有3,000名員工企業的IT和安全經理進行了調研。

調研指出，進行滲透測試的主要驅動原因是衡量企業的安全態勢（70%）以及防范攻擊事件（69%）。不過，在一些其他回復中也表達了對滲透測試能否實現這些需求的廣泛擔憂。

最大的顧慮在于滲透測試無法覆蓋整個架構，從而產生盲點（60%）。滲透測試只會檢查已知資產，而非發現和測試在云環境中被遺忘，或者未被識別的資產（47%）。同時，滲透測試成本過高，無法進一步使用（44%）。另外，滲透測試的結果只能提供周期性的當下環境快照，甚至可能在測試后的第二天就不再準確（36%）。

這些問題并不針對滲透測試人員。滲透測試人員依然提供“在某個時間點上，對特定隱患產生的攻擊面的檢查能力。”這句話意味著手動滲透測試依然在客戶最重要的資產的測試中依然有一席之地，但前提條件是已經對整體攻擊面進行了自動化的監測。

滲透測試無法覆蓋整個攻擊面的主要原因是成本。79%的受訪者表示，滲透測試過于昂貴；78%的受訪者認為，高成本導致無法對所有應用進行測試；76%的受訪者認為高成本阻礙了更高的測試頻率。總體來說，12%的受訪者每年在滲透測試上花費超過100萬美元，而有8%的受訪者每年花費在50萬到100萬美元之間。

35%的受訪者每年在滲透測試上的花費甚至低于10萬美元——這就引發了疑問：是否那些在滲透測試上進行最小投入的企業僅僅是為了合規才進行滲透測試？值得注意的是，合規需求恰恰是滲透測試的第三驅動力，有65%的受訪人表達對合規的驅動需求。

除了成本之外，手動滲透測試的另一個考量點是覆蓋面。其中，占60%的最大顧慮，是手動滲透測試只覆蓋有限的一部分攻擊面，從而留下了大量的盲點。47%的受訪者還擔心滲透測試只會針對已知資產，而不會發現新的或者未知資產。

事實上，47%的受訪者人認為滲透測試覆蓋了不到公司攻擊面的一半。38%的受訪者相信滲透測試覆蓋了超過一半的攻擊面，而還有10%認為并不清楚滲透測試覆蓋了多少攻擊面。

覆蓋面的缺乏不僅影響到了攻擊面，還影響到了時效性。由于滲透測試的成本偏高，只能不常進行。就算一家企業在測試的那天有不錯的安全狀態并且符合安全規范，在其余的時間里完全可能安全一團糟并且不合規。

而在實際情況中，一家企業可能永遠無法通過滲透測試了解自己安全態勢的真實狀態，因為在24%的測試中，需要測試兩周后才能得到測試報告。在這段時間中，新的隱患可能就會出現，而這些隱患絕無可能被測試人員發現。

毫無疑問，數字架構的規模會隨著企業數字化進程和云端資產的增加而擴大；另外由于WFH造成的資產分散性，意味著手動滲透測試可能完全無法保護現代的網絡。

報告中提到：“企業需要持續發現企業中所有暴露給攻擊者的資產，以及隸屬于下屬公司、合作伙伴、供應商和云服務商等相關緊密聯系的環境。”

CyCognito的CEO兼聯合創始人Rob Gurzeev還提到：“安全測試應該能夠告訴企業攻擊者能看到什么，能利用什么；這樣，防守方才能對攻擊采取相應措施。但如果企業只能看到他們已知的資產，只測試一部分他們的攻擊面，并且每年只做幾次測試的時候，對攻擊的防范就幾乎不可能了。因此，這份報告最大的價值在于體現了一個矛盾：企業期望通過滲透測試獲得的東西，和實際上他們從滲透測試獲得的結果，是完全兩碼事。”