2022 年渗透测试趋势
随着 2022 年的开始,现在是评估当前塑造渗透测试未来的技术趋势以及它将如何继续向前发展的最佳时机
由于大流行向远程工作过渡,2022 年也被认为是新挑战和转型的一年。对基于软件的属性(如 Web 和移动应用程序)的安全性需求不断增长,预计将促进全球渗透测试市场的增长。此外,基于云的安全服务的日益增长的使用预计将推动对渗透测试的需求。此外,预计发展中国家不断增长的数字化将推动基于物联网的连接设备的趋势。这反过来又增加了对渗透测试的需求。公司变得更容易受到恶意攻击和攻击。网络攻击的数量不断增加,加上满足合规措施的必要性越来越高,估计在估计期间将成为全球渗透测试市场的驱动力。为了对抗此类恶意攻击,渗透测试公司必须密切关注不断增长的网络安全趋势。
在 2022 年,我们无疑将继续看到对物联网设备的攻击。边缘计算小工具——数据和信息在尽可能接近收集点的地方进行操作——除了集中式云基础设施之外,所有这些都是易受攻击的。再一次,在保护这些漏洞方面,意识和指导是两个最有价值的工具。任何网络安全方法都应始终考虑对每台可以访问网络或已连接的设备进行彻底审计,并充分了解它可能产生的任何漏洞。随着 2022 年的到来,现在是评估目前塑造渗透测试未来的技术趋势以及它将如何持续发展的最佳时机。
渗透测试到底是关于什么的?
渗透测试是企业从外部角度测试其网络安全性的一种方式。公司任命渗透测试人员,通常称为渗透测试人员,他们有足够的能力破坏系统并访问不应该可用的数据。当然,这只是在监督下并在完全合法的同意下进行。它提供了一个非常令人大开眼界的见解,以了解网络安全措施如何真正抵御网络攻击。这种类型的测试可以帮助公司发现他们在哪里存在安全故障,这样它们就不会成为未来的主要问题。
三种渗透测试:
- 白盒测试: 这种类型的渗透测试是使用组织本身提供的有关网络系统的所有文档和可访问的详细信息执行的。渗透测试人员有额外的信息可以使用;但是,他们仍在尝试发现系统中的漏洞。
- 黑盒测试: 与白盒测试不同,黑盒测试是在未经测试的目标组织同意或不知情的情况下执行的,因此渗透测试人员必须了解并弄清楚他们自己可以访问哪些数据。
- 灰盒测试:这种渗透测试是白盒测试和黑盒测试技术的结合,其中渗透测试人员对目标公司系统的了解有限,但比黑盒测试可访问的数据多。
竞争格局
渗透测试服务市场竞争异常激烈,包括各种主要参与者。在市场份额方面,一些主要参与者目前主导着市场。这些在市场上占有重要份额的主要参与者正集中精力扩大其在国外的消费群。这些企业正在利用协作计划和战略创新来提高市场份额并提高盈利能力。FireEye 和 Symantec 等安全巨头多年来一直提供渗透测试,而 Synack 和 Bugcrowd 等其他漏洞赏金玩家也开展众包渗透测试。
今年我们可以期待在网络攻击方面观察到什么?
- 随着网络攻击者或黑客变得高度复杂并且最擅长渗透网络,有针对性的攻击没有下降的迹象。因此,还需要更好地指导从事网络安全工作的人员以及那些试图维护其信息安全的人员,以免落入坏人之手。
- 此外,随着越来越多的人从旧版本的计算机转向使用平板电脑和智能手机,我们可以期待针对移动设备的更多攻击。网络安全必须与不断变化的时代保持一致,并建立新的战略来保护我们的技术免受破坏。
- 随着这些形式的攻击变得有利可图并且在网络犯罪分子中非常流行,我们还可以展望未来很快就会看到更多的恶意软件和勒索软件攻击。因此,公司和个人将需要提高警惕,以保护其关键信息和网络免受此类威胁。
2022 年要适应的 8 大渗透测试趋势
1. DevSecOps
DevScope 是在 DevOps 模型中创建安全性的重要因素。它发展了一种“SaC”(安全即代码)文化。在接受这种方法的同时,必须自动化安全工作流程。这对 QA 测试人员非常有益,因为它采用敏捷技术的力量将安全测试完美地整合到开发过程中。如果您的公司不愿意采用 DevOps,它会为您提供改变和更新的理由。Devscopes 通过灵活并在代码级别提供快速漏洞识别来吸收渗透测试活动。
2. 以区块链为中心的技术将增加安全性
加密货币正在走向主流,而且不会很快结束。尽管构成比特币及其同类产品基础的区块链技术是根据去中心化和安全性原则构建的——尽管在网络安全中有多个区块链应用程序——但重要的是要记住,这并不意味着它可以抵抗被被黑了。这也不意味着安全性和加密货币齐头并进。
以 NFT(不可替代代币)的兴起为例。它们都将在今年及以后被大量大公司采用,但是,它们也容易被盗,并可能成为网络犯罪分子的下一个最重要的焦点。对于渗透测试,对核心技术的理解将在未来几年内呈指数级增长。无论您的企业为消费者采用加密货币还是利用区块链来保护数据和资产,这都是正确的。
3. 云服务攻击
现在,远程和现场工作场所都严重依赖各种云服务。远程工作增强了云安全问题,但威胁超越了转移到分布式员工的范围。威胁包括 API 漏洞以及传统软件问题。一项云服务的配置以及集成、计数授权和身份验证方面的缺陷可能会带来更广泛的问题。例如,网络攻击者正在利用易受攻击的 PaaS(平台即服务)产品来扩大其勒索软件或恶意软件的范围。云的回报有时足以超过威胁。使用程序化方法,公司可以减少日益增加的云操作带来的威胁,并为安全和健全的未来奠定基础。
4. 与 GRC、SIEM 和帮助台系统的集成
随着不断的渗透测试与补丁系统和程序的集成度越来越高,它还将与整体 GRC、SIEM 以及帮助台操作相关联,并有助于将单独的团队加强为一个大型网络安全部门。通过整合这些系统,请求其他团队支持以修复漏洞的工作将得到更新、自动化和组织化。
当漏洞暴露时,无论是使用传统软件还是特定的工作流程、系统和通知,都会自动激活以通知责任团队并建议补救措施。当问题得到缓解时,持续渗透测试平台与补救跟踪的联系将通知安全团队,他们可以从待办事项列表中获得修复并继续执行其他工作和职责。
5.以人工智能(AI)为中心的网络安全
人工智能 (AI) 可以通过确定可能发生异常或不寻常的行为模式来对抗攻击或网络犯罪。重要的是,人工智能意味着这可以在需要应对每秒发生的数百个事件的系统中完成,这通常是网络犯罪分子试图攻击的地方。人工智能的预测能力使它在这里如此具有建设性,这就是为什么随着我们进入 2022 年,越来越多的企业将投资于这些解决方案。
可悲的是,网络犯罪分子或攻击者也意识到人工智能的好处,并且使用 ML(机器学习)等技术来逃避网络安全保护方式的新风险正在出现。这使得人工智能变得更加重要——因为它是抵御人工智能驱动的网络攻击的唯一希望。目前的研究最近显示,公司现在认为人工智能对于确定和应对关键的网络安全风险很重要,近四分之三的公司正在为此使用或测试人工智能。
6.机器学习(ML)
机器学习在网络安全中发挥着更加主动和更大的作用。借助机器学习,网络安全变得更简单、更便宜、更有效。机器学习创建模式并使用利用庞大数据集的算法对其进行操作。它可以通过这种方式实时预测和响应主动攻击。为了生成有效的算法,该技术主要依赖于复杂而广泛的数据。数据应来自多种来源,并代表尽可能多的不同场景。作为机器学习实施的结果,网络安全系统可以计算攻击模式并学习网络犯罪分子的行为。这些有助于预防未来的威胁,并减少网络安全专家执行基本操作所需的时间。
7. 勒索软件的威胁上升
普华永道的新研究显示,技术高管预计勒索软件攻击将在 2022 年增加。我们可以将此归咎于致命疾病,以及在线和数字环境中执行的行动数量的发展。勒索软件通常包括用病毒感染小工具,该病毒将文件锁定在牢固的密码系统后面,并威胁要除非支付赎金,否则会拆除它们,通常以无法追踪的加密货币的形式。另一方面,软件病毒可能会恐吓公开发布数据,使公司面临巨额罚款。
勒索软件自然是通过. 网络钓鱼攻击——组织的工作人员被诱骗提供详细信息或单击将恶意软件或勒索软件下载到系统上的链接。但是,目前,可以物理访问小工具的人通过 USB 设备直接感染正变得越来越普遍。教育是应对这种风险的高效手段,研究表明,意识到这种攻击威胁的员工成为猎物的可能性要低 9 倍。
8、环保5G网络
对于数据交换和自我控制,当前的数字革命在很大程度上依赖于小工具的连接性。要发挥如此强大的性能,高性能网络至关重要,而 5G 技术适合这项工作。鉴于智能城市依赖于连接和连接每一件事情的电信,一些国家已经宣布 5G 网络是全国性的基础设施。他们的安全必须成为国家安全的关注点。总而言之,“设计安全”对于安全的 5G 网络至关重要,因为它从一开始就解决了安全威胁。在 COVID-19 爆发之后,越来越多的国家似乎在效仿美国政府,将少数公司标记为不值得信赖的供应商。尽管此类事件可能出于政治考虑,但可以肯定的是:
没有人知道网络安全的未来会怎样,一些垂直行业仍在研究如何在大流行的不确定性和混乱中保护他们的网络。但是,这些最近的趋势让我们看到了未来几年的预期。未来几十年,IT 安全管理员和软件开发人员的需求量很大。
2022 年 5 种最佳安全测试工具
有几种用于安全测试的工具,但是,在这里我们将讨论执行安全测试时常用的最顶级的漏洞评估和渗透测试工具。
1. Burp Suite
Burp Suite by Portswigger Web Security is the world’s commonly used web application security test software. It comes in two versions – Burp Suite experts for hands-on testers, & Burp Suite Enterprise Edition with Continuous integration and scalable automation. It is found in most pen test toolkits, even though its power is more on the scanning part than on penetration. Though there is a free version accessible, it is restricted in functionality, with no automation capacities. Those interested in the total package for enterprise-wide automation and scalability should be equipped to pay well.
翻译:Portswigger Web Security 的 Burp Suite 是世界上常用的Web 应用程序安全测试软件。它有两个版本——Burp Suite专家用于动手测试人员,以及 Burp Suite 企业版,具有持续集成和可扩展的自动化功能。在大多数渗透测试工具包中都可以找到它,尽管它的功能更多的是扫描部分而不是穿透部分。虽然有免费版本可供访问,但它的功能受到限制,没有自动化能力。那些对企业范围内的自动化和可扩展性的总包感兴趣的人应该有能力支付高昂的费用。
2. AppScan
Earlier called IBM AppScan is now referred HCL Appscan standard is the best web app security testing tool. AppScan is a robust analysis test tool designed for penetration testing experts and security experts to use when performing security testing on web apps. The item scans the behavior of every app, whether an internally developed app or an off-the-shelf app and develops a program intended for testing all of its functions for both common & app-precise vulnerabilities. This family of product is capable to execute IAST, DAST, SAST, and Mobile Analysis against the source code of the users and verify for vulnerabilities.
翻译:以前称为 IBM AppScan 现在称为HCL Appscan标准是最好的 Web 应用程序安全测试工具。AppScan 是一个强大的分析测试工具,专为渗透测试专家和安全专家在对 Web 应用程序执行安全测试时使用。该项目扫描每个应用程序的行为,无论是内部开发的应用程序还是现成的应用程序,并开发一个程序来测试其所有功能的常见和应用程序精确漏洞。该系列产品能够针对用户的源代码执行 IAST、DAST、SAST 和移动分析并验证漏洞。
3. Nmap
The Nmap is an open-source and free tool for security auditing and network discovery. Network Mapper is used for identifying the live host on the network (host discovery), also discovering the host’s open ports. It is a port scanner more than a pen test tool. However, it assists penetration tests by flagging the better zones to target in an attack. That is helpful for ethical hackers to determine network flaws. It is handy and familiar with the open-source arena, yet it may be a challenge for a few newer to such apps. Even though it runs on all major Operating Systems, Linux users will find it highly familiar.
4. Nessus
It is a remote security scanning tool used at some stage in a pen test and vulnerability assessment. Nessus is an open-source and free tool for non-enterprises usage. It scans for vulnerabilities on UNIX and Windows systems, these traits make this tool all-rounder. Nessus tool is best for penetration experts and security test teams. This tool is probably better for skilled security teams, as its interface can be slight tricky to master in the beginning. It should be used in combination with penetration test tools, offering them areas to target & potential threats to exploit.
5. Metasploit
It is a famous hacking and pen-testing tool. This framework makes finding vulnerabilities very easy and is often used to test for computer system vulnerability. Metasploit finds security issues, manages security assessments & verifies vulnerability mitigations. It counts the scanning as well as testing of threats and vulnerabilities. Backed by a large open-source database of known exploits, it offers IT security experts an analysis of penetration test outcomes so remediation steps can be done effectively. But, it does not scale up to enterprise-level & few users say it is hard to use at first.
Key Players
According “Global Penetration Testing Market” study report a valuable insight with an emphasis on the international market counting some of the key players like Checkmarx, IBM Corporation, Veracode, Qualys, Inc., Trustwave Holdings, Inc., Cigital, Inc., Whitehat Security, Acunitix, Rapid7, Inc., Hewlett Packard Enterprise, etc.
未来范围
由于无需投资即可缩减或扩大业务的容量和成本低,因此现在各行业选择基于云的存储而不是旧版本的物理服务器。每年,Apple 在 AWS 云上的支出超过 3.06 亿美元。同样,亚马逊在 2018 年从其 AWS 云计算服务中获得了约 250 亿美元的回报。这种以云为中心的系统受到威胁,然后受到黑客攻击,应该受到保护,免受破坏性和恶意恶意软件的侵害。2019年,知名金融公司Capital One遭遇云计算漏洞,1.06亿信用卡用户信息被曝光。因此,渗透测试服务正成为云计算平台确保额外安全性的重要方面,预计将随着云计算业务快速增长。
来自:What is DevOps? - DZone DevOps