人工渗透测试之死?

标签:人工智能
分享到:

 

最近,由Informa Tech代表CyCognito,就人工渗透测试方面的问题对超过100名在有3,000名员工企业的IT和安全经理进行了调研。

调研指出,进行渗透测试的主要驱动原因是衡量企业的安全态势(70%)以及防范攻击事件(69%)。不过,在一些其他回复中也表达了对渗透测试能否实现这些需求的广泛担忧。

最大的顾虑在于渗透测试无法覆盖整个架构,从而产生盲点(60%)。渗透测试只会检查已知资产,而非发现和测试在云环境中被遗忘,或者未被识别的资产(47%)。同时,渗透测试成本过高,无法进一步使用(44%)。另外,渗透测试的结果只能提供周期性的当下环境快照,甚至可能在测试后的第二天就不再准确(36%)。

这些问题并不针对渗透测试人员。渗透测试人员依然提供“在某个时间点上,对特定隐患产生的攻击面的检查能力。”这句话意味着手动渗透测试依然在客户最重要的资产的测试中依然有一席之地,但前提条件是已经对整体攻击面进行了自动化的监测。

渗透测试无法覆盖整个攻击面的主要原因是成本。79%的受访者表示,渗透测试过于昂贵;78%的受访者认为,高成本导致无法对所有应用进行测试;76%的受访者认为高成本阻碍了更高的测试频率。总体来说,12%的受访者每年在渗透测试上花费超过100万美元,而有8%的受访者每年花费在50万到100万美元之间。

35%的受访者每年在渗透测试上的花费甚至低于10万美元——这就引发了疑问:是否那些在渗透测试上进行最小投入的企业仅仅是为了合规才进行渗透测试?值得注意的是,合规需求恰恰是渗透测试的第三驱动力,有65%的受访人表达对合规的驱动需求。

除了成本之外,手动渗透测试的另一个考量点是覆盖面。其中,占60%的最大顾虑,是手动渗透测试只覆盖有限的一部分攻击面,从而留下了大量的盲点。47%的受访者还担心渗透测试只会针对已知资产,而不会发现新的或者未知资产。

事实上,47%的受访者人认为渗透测试覆盖了不到公司攻击面的一半。38%的受访者相信渗透测试覆盖了超过一半的攻击面,而还有10%认为并不清楚渗透测试覆盖了多少攻击面。

覆盖面的缺乏不仅影响到了攻击面,还影响到了时效性。由于渗透测试的成本偏高,只能不常进行。就算一家企业在测试的那天有不错的安全状态并且符合安全规范,在其余的时间里完全可能安全一团糟并且不合规。

而在实际情况中,一家企业可能永远无法通过渗透测试了解自己安全态势的真实状态,因为在24%的测试中,需要测试两周后才能得到测试报告。在这段时间中,新的隐患可能就会出现,而这些隐患绝无可能被测试人员发现。

毫无疑问,数字架构的规模会随着企业数字化进程和云端资产的增加而扩大;另外由于WFH造成的资产分散性,意味着手动渗透测试可能完全无法保护现代的网络。

报告中提到:“企业需要持续发现企业中所有暴露给攻击者的资产,以及隶属于下属公司、合作伙伴、供应商和云服务商等相关紧密联系的环境。”

CyCognito的CEO兼联合创始人Rob Gurzeev还提到:“安全测试应该能够告诉企业攻击者能看到什么,能利用什么;这样,防守方才能对攻击采取相应措施。但如果企业只能看到他们已知的资产,只测试一部分他们的攻击面,并且每年只做几次测试的时候,对攻击的防范就几乎不可能了。因此,这份报告最大的价值在于体现了一个矛盾:企业期望通过渗透测试获得的东西,和实际上他们从渗透测试获得的结果,是完全两码事。”

继续阅读
5G时代人工智能的风口在哪个行业?

在这个过程中,很多应用都在不断加入其中。比如计算机跟通信的融合产生了互联网、互联网跟手机的融合带来了移动互联网。

用人工智能和机器学习为数据中心提供动力

随着数据在当今企业中的重要性日益增加,数据管理对于管理和治理大型数据集以促进业务增长至关重要。公司正在利用先进的分析和自动化工具来处理大量数据。他们还利用装备精良的数据中心进行更好的数据管理。数据中心提供无缝的数据备份和恢复设施,同时支持云存储应用程序和交易。由于它们为业务数据存储提供了独特的功能,因此公司正在转向人工智能和机器学习等新兴技术来改进其数据中心基础设施。

人工智能在印度农业转型中的作用

农业为印度约58%的人口提供了生计。2020财年,渔业、林业和农业的总增加值预计为194.8亿卢比。2020财年,包括相关部门在内的农业占印度当前价格的总增加值(GVA)的17.8%。在大流行驱动的衰退之后,印度的消费者支出将在2021年恢复增长。

十四五规划重点提及人工智能,AI企业或将迎来全面爆发!

2021年,人工智能行业迎来政策红利大年。1月,工信部印发《工业互联网创新发展行动计划(2021-2023年)》,制定了一系列推动工业互联网新型基础设施建设量质并进的发展目标。3月,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(以下简称“纲要”)全文正式发布。在共19篇65章的纲要全文中,“智能”、“智慧”相关表述达57处。

对于人工智能安全问题的应对策略有哪些?

面对人工智能带来的安全问题,我们要保持理性对待,分而治之。一方面,就目前来说,人工智能中存在的安全问题是多方面因素导致的,我们需要理性分析,对症下药。