最新公告
  • 欢迎您光临站壳网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 网络风险管理将变得更加轻松

    正文概述 webmaster   2019-11-11   711

    新的连续自动渗透和攻击测试(CAPAT)工具将帮助首席财务官(CISO)更好地了解自身的薄弱点并先后采取最重要的补救措施。

    网络风险管理将变得更加轻松

    与两年前相比,如今组织的网络风险管理更加困难。最近展开的ESG调研中有73%的安全专业人员这样表示。为什么会这样呢?受访者指向了一系列因素,如攻击面越来越大,软件漏洞数量不断增加,网络攻击者的技术实力也在不断提高。

    那么组织如何减轻日益增长的网络风险呢?一种常见的方法是通过红队测试(red teaming)和渗透测试等演练更好地利用现有网络防御的力量。

    许多组织已经进行了渗透测试或红队测试,使用所得数据来衡量安全团队的绩效,与IT领导者一起评估结果,以及对一系列安全控制措施和流程进行重新评估——这一切都是有价值的成果。

    但问题就在于:大多数组织每年只进行一两次这样的演练。此外,ESG的研究表明,在75%的组织中,渗透测试和红队测试方面的工作只能坚持两周,甚至两周都不到。尽管渗透测试和红队测试很有价值,但也十分昂贵,而且很少有组织具备专门的人员或高级技能来亲自进行这些演练或使用第三方服务来增加演练的次数。

    在瞬息万变的IT环境中,仅仅花两周时间进行安全防御是远远不够的。

    这时持续的自动渗透和攻击测试就可以帮助你

    幸运的是,市面上有一个新兴的,前景无量的网络安全技术市场领域,ESG称其为连续自动渗透和攻击测试(CAPAT)。企业并没有雇佣技能娴熟的渗透测试黑客或白帽黑客来展开连续自动渗透和攻击测试,而是通过模拟网络钓鱼电子邮件,社交工程或应用程序层漏洞之类的技术来模仿攻击者的行为,以清除网络安全链中的薄弱环节。

    与偏向于遵循静态攻击模式的人不同,连续自动渗透和攻击测试工具可以不断更新以包括最新的攻击战术,技术和程序(TTP),因此组织可以根据当前的攻击来评估防御能力——而不仅仅是通过道德黑客所使用的久经考验的工具。有些工具在察看和了解组织网络的特质时使用机器学习来对攻击进行细微地改动。该领域的供应商包括AttackIQ、Cymulate、Randori、SafeBreach、Verodin和XM Cyber。

    如果这些工具得到了恰当的使用,那么它们就确实可以帮组织改善网络风险的度量/管理。换句话说,首席信息安全官可以发现薄弱处并先后采用补救措施。这也有助于提高网络安全支出所带来的投资回报率,其方法是使安全团队能够基于数据(而不是有根据的猜测)在最重要的领域投入预算资金,。

    使用连续自动渗透和攻击测试工具的好处

    如你所知,我看好这项技术并相信企业机构将在未来18到24个月内对工具进行测试,试验和部署。当它们做如下的事情时:

    • 首席信息安全官(CISO)最终将具备因时制宜的网络风险度量标准可供分享。首席财务官(CFO)虽然理解增加网络安全预算的必要性,但他们似乎无法解决一个显而易见的问题:“我所花的钱值得吗?”首席信息安全官将使用连续自动渗透和攻击测试工具来获得一系列衡量指标,然后与高管和公司董事会共享风险和财务管理数据,从而改善决策并最终回答首席财务官发起的与钱有关的查询。
    • 红队和蓝队可能会变成紫队。就我的经验来说,由于技能,工具和流程各不相同,红队和蓝队往往会在协作方面遇到困难。连续自动渗透和攻击测试工具可以提供通用数据来联合这些团队。
    • 连续自动渗透和攻击测试可能会篡改渗透测试。一旦测试人员发现易受攻击的系统或入口点,渗透测试就会结束。连续自动渗透和攻击测试有可能使高级的红队测试更亲民。在这种情况下,连续自动渗透和攻击测试将超越渗透测试,以证明攻击是如何从网络渗透转移到杀伤链所包含的所有阶段。仅此一点对于安全操作将极具价值。
    • 连续自动渗透和攻击测试成了SOAPA的一部分。安全事件和事件管理(SIEM),端点检测和响应(EDR)以及网络流量分析(NTA)等安全操作工具往往侧重于威胁管理而不是风险管理。连续自动渗透和攻击测试数据将为这些工具以及集成度更高的安全操作和分析平台体系结构(SOAPA)提供指导意见,从而有助于在威胁和漏洞之间取得平衡。当人们在自然环境中发现新威胁时,SOC团队可以咨询连续自动渗透和攻击测试工具以了解自身是否容易受到类似攻击。连续自动渗透和攻击测试数据还将与MITRE ATT&CK框架等东西结合在一起,帮助SOC团队描绘攻击的特征并通过逻辑调查。
    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 网络风险管理将变得更加轻松

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者

    发表评论

    售后服务:

    • 售后服务范围 1、商业模板使用范围内问题免费咨询
      2、源码安装、模板安装(一般 ¥50-300)服务答疑仅限SVIP用户
      3、单价超过200元的模板免费一次安装,需提供服务器信息。
      付费增值服务 1、提供dedecms模板、WordPress主题、discuz模板优化等服务请详询在线客服
      2、承接 WordPress、DedeCMS、Discuz 等系统建站、仿站、开发、定制等服务
      3、服务器环境配置(一般 ¥50-300)
      4、网站中毒处理(需额外付费,500元/次/质保三个月)
      售后服务时间 周一至周日(法定节假日除外) 9:00-23:00
      免责声明 本站所提供的模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: 80027422@qq.com),我们会及时删除,给您带来的不便,我们深表歉意!

    Hi, 如果你对这款模板有疑问,可以跟我联系哦!

    联系作者
    • 566会员总数(位)
    • 4598资源总数(个)
    • 74本周发布(个)
    • 9 今日发布(个)
    • 170稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情