持续安全测试简介

持续安全测试 (CST) 是验证您的防御措施的持续过程，以了解它们是否可以抵御新出现的威胁。该流程旨在识别漏洞、评估安全控制的有效性并确保持续的安全合规性。 

与按固定时间间隔进行的传统安全测试不同，持续安全测试将评估集成到组织的开发和运营流程中。它涉及在系统的整个使用寿命期间频繁执行的自动化技术。

将 CST 想象为一家公用事业公司：它“始终在线”，不会中断。新的恶意软件正在对您的行业造成严重破坏？查看您的 CST 解决方案是否已在您的环境中进行测试。想知道最新的 CVE 是否与您相关？登录您的仪表板并检查。

您支付电费，但可能没有每天检查用电量的习惯。CST 相当于网络安全：必须执行，但无需监控。

持续安全测试有何独特之处？

无论策略如何，安全测试始终是时间点的。当您运行安全评估时，您需要计划、执行并报告结果。所有这些都非常以时间线为中心：此过程的每个阶段都有明显的开始和结束。

问题在于技术发展太快。

端点检测和响应 (EDR) 工具及其安装的操作系统正在不断迭代。程序正在更新。正在添加功能。软件开发的步伐是短跑，而不是马拉松。每次更改都会带来新漏洞或防御代理盲点的风险，而防御代理尚未为新的恶意行为序列创建签名。

CST 是一种全新的方法。它吸取了之前的精华，同时改进了许多缺陷。它需要一个完全不同的视角。CST 不是测试对手可以做什么，而是测试防御者可以防御什么。

持续测试旨在增加与任何想要强化其功能的防御产品的互操作性。它通过自我修复过程来实现这一点，其中每个故障都会报告给防御方，以进行自动或手动检查和快速修复。

这是我们在构建时考虑的许多因素前奏检测，我们的生产规模持续安全测试解决方案。

为什么要进行持续的安全测试？

考虑两个问题：

如果您环境中的每个端点都为零漏洞，您安全吗？

如果您环境中的每个端点都可以阻止所有恶意行为（包括内部威胁和漏洞利用尝试），您安全吗？

哪个是对的？当然是第二个。

让我们把它变得更极端。假设您环境中的每个端点都存在所有已知漏洞 - 但它仍然可以阻止所有利用尝试并阻止所有恶意行为。你还安全吗？令人惊讶的是，答案仍然是肯定的。

这告诉你什么？端点是基础设施的中心。如果您能够保护每一个人，那么您就已经达到了 100% 的安全水平。这应该比试图达到修补整个环境中的漏洞的不可令人满意的“良好”状态更有吸引力。

反复且一致地持续测试可验证您的端点安全性是否有效。

持续安全测试与其他安全策略有何不同？

持续安全测试与漏洞管理

漏洞管理是一种主动扫描组织 IT 基础设施中的安全漏洞、确定优先级并减少安全漏洞的方法。该过程首先识别整个环境中的常见漏洞和暴露 (CVE)。每个发现的 CVE 都会根据其潜在影响进行优先级排序，并计划进行修补，通常需要将底层软件升级到没有安全漏洞的版本。

CST 不需要扫描，也不需要修补。持续测试不是了解您可能受到哪些攻击，而是利用每个端点并监控防御对每次攻击的响应情况。如果它能够阻止漏洞利用，则应将关联的 CVE 视为较低优先级来解决。  

持续安全测试与红队

红队是一种手动网络安全实践，涉及模拟对组织的系统、流程或人员的实际攻击，以评估其整体安全态势。红队的目的是通过采用对手的视角并识别通过基于边界的安全评估可能不明显的漏洞来评估组织的防御能力。

红队的手动性质限制了可测试的规模。通常，红队会验证 1 到 20 个端点，将安全状况推断到组织的其他部分。CST 设计为同时在所有端点上运行。 

持续安全测试与违规和攻击模拟

违规和攻击模拟，也称为 BAS，是一种网络安全实践，涉及自动执行真实的攻击场景，以评估组织的安全态势并识别漏洞。它侧重于测试安全控制、检测机制和发生违规或网络攻击时的事件响应程序的有效性。

CST 不会关注对手可以做什么，而是从您的防御角度来确定您受到的保护程度。每个测试都会引起端点的响应，并不仅确定其响应方式，还确定如何修复问题。

持续安全测试与自动渗透测试

渗透测试，也称为渗透测试，是一种网络安全实践，涉及通过从外围刺探计算机系统和网络并找到初始访问点来评估计算机系统和网络的安全性。渗透测试的目标是识别目标系统基础设施中的弱点，并提供加强其安全性的建议。

CST 的立场是测试应围绕“端点”而不是周边进行。端点可以是笔记本电脑、工作站、服务器、容器、虚拟机、交通灯、摄像头、支持 WiFi 的牙刷……基本上，如果设备已联网并运行代码 - 它就是一个端点。如果每个端点都受到保护，那么其背后的设备也会受到保护——即使边界被突破。

谁关心持续安全测试？

IT 与安全运营

负责推出设备和管理其软件的团队关心它们的安全。如果端点防御未按预期工作，安全事件将给该团队带来大量工作，通常使他们忙于修复任何保护失误。

检测工程

持续测试使检测工程师能够验证他们的检测规则是否始终有效。由于测试的可变性，检测规则（例如基于 Sigma 的规则）会针对一组不断变化的测试进行压力测试。

进攻性安全

红色和紫色团队负责了解组织的安全状况，能够向 CST 提供新的测试。由于这些团队了解其组织的独特之处，因此他们可以精心设计自定义测试来验证特别重要的场景。持续测试提高了进攻团队的重要性，因为它大胆地鼓励随时在所有生产机器上进行测试。

安全领导力

CISO 和其他负责采购安全产品的领导者关心它们是否按预期工作。常见端点防御（例如 EDR 代理）占预算的很大一部分，并承担保护机队的大量责任。了解这些代理可以防止网络攻击，同时不妨碍业务功能，这是至关重要的情报。

高管和董事会

高管和董事会关心他们的组织是否能够适当地利用杠杆来应对风险。如果没有持续的测试，高管们就被迫接受他们购买的每个供应商的承诺，迫使他们过度购买并将购买的安全视为保险费。CST 使管理人员能够对他们购买的安全产品充满信心，并了解他们的弱点。