资金充裕也挡不住网络攻击

自动化安全验证公司Pentera近期发布的报告表明，资金充裕的多层网络安全系统无法保护美国和欧洲的企业免遭网络攻击。

报告基于对300位CIO、CISO和安全高管的调研，探查其当前IT与安全预算和网络安全验证实践方面的情况。报告指出，金融放缓对网络安全预算的影响微乎其微。

Pentera首席营销官Aviv Cohen在新闻稿中表示：“我们看到越来越多的公司加快了渗透测试的节奏，但我们真正需要实现的是横跨整个公司的持续验证。年度渗透测试评估只会让安全团队在一年中大多数时间里都对自己的安全态势一无所知。安全团队需要利用自动化安全验证解决方案来更新关于自身暴露情况的信息。”

渗透测试是测试计算机系统、网络和Web应用程序的一种实践，目的是发现有可能被攻击者利用的漏洞。渗透测试在受控环境下模拟对系统或应用程序的攻击，从而发现安全漏洞，并给出修复建议。

深度防御方法不足以保障安全

调查发现，公司平均部署近44个安全解决方案，也就是说，公司遵循深度防御（亦称深度安全）方法，布设多种安全解决方案最大限度地为重要资产提供防护。然而，尽管部署了大量安全措施，88%的受访公司也承认，在过去两年中经历过网络安全事件。

调研结果符合其他专家的观察所得。

“深度防御不仅仅是预防，攻击检测与响应也是这种策略的一部分。”佛瑞斯特研究所分析师Erik Nost表示，“事实上，正是这些深度防御策略检出了公司的安全事件并缓解了事件影响。如今，公司的攻击面不断扩张，总有尚未了解的部分。评估攻击面可能会找出诸多漏洞与暴露，需要逐个确定优先级再花时间修复。”

报告指出，2023年，全球经济放缓可能不会影响到网络安全预算。调研结果显示，92%的受访公司增加了自身IT安全预算。85%增加了用于渗透测试的预算。

Pentera客户运营副总裁Chen Tene在新闻稿中表示：“虽然CISO必须更加重视整个安全技术栈的验证，但我很高兴看到安全团队可以拿到保护自家企业所需的预算。”

安全验证是渗透测试的主要驱动力

报告发现，尽管最初的渗透测试需求源自监管要求，执行渗透测试的关键原因却是安全验证、潜在破坏评估，以及网络安全保险。

仅22%的受访者将合规视为进行渗透测试的主要动机，表明监管或行政要求不是渗透测试背后的主要驱动力。

“在我们2020年的调查中，监管合规是CISO给出的第二大原因，如今，这个原因已经掉落到榜尾了。”Cohen称，“这是种积极的转变，表明安全高管并没有坐等监管要求他们采取一步的动作。”

新冠肺炎疫情导致网络攻击激增，在此背景下，网络安全保单成了另一大渗透测试推动因素：36%的调查参与者认为网络安全保单是其进行渗透测试的主要原因。这与2020年的调查结果形成了鲜明对比，当时仅2%的受访者认为网络安全保险是他们做渗透测试的首要驱动力。

“有时候，来自监察机构或管理机构的初始推动，正是一些企业认清现实做出改变所需要的。”Nost称，“但安全解决方案、技术和威胁会不断发展，监管要求却不太可能随之演变，继续适用。”

报告发现，82%的受访公司已经在以某种方式实现渗透测试。不过，采用渗透测试的主要障碍在于对业务连续性的担忧。无论是正在进行渗透测试的公司，还是没有进行渗透测试的公司，在考虑增加渗透测试频率的时候都将业务连续性风险作为自己的主要关注点。

无论手动还是自动，已经进行渗透测试的受访者中，大约45%表示，业务应用程序或网络可用性的风险令自己无法增加渗透测试频率；而根本没有进行渗透测试评估的受访者中，这么认为的受访者占56%。