未来网络风险管理将会变得更加轻松

（文章来源：企业网）

新的连续自动渗透和攻击测试（CAPAT）工具将帮助首席财务官（CISO）更好地了解自身的薄弱点并先后采取最重要的补救措施。

与两年前相比，如今组织的网络风险管理更加困难。最近展开的ESG调研中有73%的安全专业人员这样表示。为什幺会这样呢？受访者指向了一系列因素，如攻击面越来越大，软件漏洞数量不断增加，网络攻击者的技术实力也在不断提高。

那幺组织如何减轻日益增长的网络风险呢？一种常见的方法是通过红队测试（red teaming）和渗透测试等演练更好地利用现有网络防御的力量。许多组织已经进行了渗透测试或红队测试，使用所得数据来衡量安全团队的绩效，与IT领导者一起评估结果，以及对一系列安全控制措施和流程进行重新评估——这一切都是有价值的成果。

但问题就在于：大多数组织每年只进行一两次这样的演练。此外，ESG的研究表明，在75%的组织中，渗透测试和红队测试方面的工作只能坚持两周，甚至两周都不到。尽管渗透测试和红队测试很有价值，但也十分昂贵，而且很少有组织具备专门的人员或高级技能来亲自进行这些演练或使用第叁方服务来增加演练的次数。

在瞬息万变的IT环境中，仅仅花两周时间进行安全防御是远远不够的。

幸运的是，市面上有一个新兴的，前景无量的网络安全技术市场领域，ESG称其为连续自动渗透和攻击测试（CAPAT）。企业并没有雇佣技能娴熟的渗透测试黑客或白帽黑客来展开连续自动渗透和攻击测试，而是通过模拟网络钓鱼电子邮件，社交工程或应用程序层漏洞之类的技术来模仿攻击者的行为，以清除网络安全链中的薄弱环节。

与偏向于遵循静态攻击模式的人不同，连续自动渗透和攻击测试工具可以不断更新以包括最新的攻击战术，技术和程序（TTP），因此组织可以根据当前的攻击来评估防御能力——而不仅仅是通过道德黑客所使用的久经考验的工具。有些工具在察看和了解组织网络的特质时使用机器学习来对攻击进行细微地改动。该领域的供应商包括AttackIQ、Cymulate、Randori、SafeBreach、Verodin和XM Cyber。

如果这些工具得到了恰当的使用，那幺它们就确实可以帮组织改善网络风险的度量/管理。换句话说，首席信息安全官可以发现薄弱处并先后采用补救措施。这也有助于提高网络安全支出所带来的投资回报率，其方法是使安全团队能够基于数据（而不是有根据的猜测）在最重要的领域投入预算资金。