全文共1145字,阅读大约需2分钟。
回顾过往,几乎每个月都有海外企业、政府机关及各类公共部门由于网络攻击事件登上新闻热搜。想要在众多互联网资产中建立一道牢固防线,必然离不开渗透测试。那么是否有一种合适的方式可以帮助他们更快、更准确、更灵活地发现这些安全问题呢?
在2022RSA大会中,来自Cobalt的Caroline Wong以《大规模渗透测试的实践》为题进行分享,提出用PtaaS(Pentest as a Service)来解决问题。
渗透测试覆盖度调研
Caroline Wong在分享中表示:2021年,各大企业或机关对其管理下的应用进行过渗透测试的比例从2013-2016年的10%上升到63%。尽管如此,一旦近40%的站点被攻破,攻击者将有机会对整个内网进行打击。可以看出仍然有大量的应用“裸奔”在互联网上,亟需开展渗透测试工作。
渗透测试覆盖比例
网络安全现状
Caroline Wong表示尽管网络已经比过去更加安全,但远远没有达到我们想要的高度。历时18年,OWASP TOP 10中除改变了漏洞排行及命名以外,漏洞类型基本维持不变。
OWASP Top 10 变化
议题分享者Caroline Wong认为造成这一原因的主要因素是:
1、不便捷 (漏洞发现、漏洞修复)
需要在企业内部申请渗透测试,或通过乙方购买渗透测试服务。
测试后涉及的修复流程非常繁琐。
2、枯燥无味
用户往往在出现安全事件时,才意识到安全工作的必要性,漏洞在没有被利用的情况下对企业来说感知较弱,频繁重复的渗透测试让用户索然无味。
3、成本问题(时间、预算)
渗透测试即服务
为解决上述问题,Caroline Wong分享了PtaaS服务模型。与传统渗透测试相比,PtaaS (Pentest as a Service) 具有以下几个优点:
Cost,相比于传统渗透测试PtaaS的价格较低
Flexibility,灵活的下单流程、测试时间及需要测试的站点数量
On-demand,按需下单
Redundancy,资源冗余
Workloads,强大的资源池
渗透测试 VS 渗透测试即服务
轻量化渗透测试
基于云化战略的轻量化渗透测试是绿盟科技在探索PtaaS道路上推出的一项新服务,是一种全新的渗透测试方法论,该服务基于云平台集成工具扫描和专家交付资源池,同时具备以下三个特点:
01
渗透测试全程上“云”
支持用户在线下单,测试/复测申请,云端快速完成待测目标的工具扫描+人工测试,最终由平台生成报告,节约时间和成本。
02
漏洞全生命周期管理
实时跟踪漏洞状态,协助用户闭环修复漏洞。
03
数据分析统计
全方位分析和展示企业资产安全状况。
轻量化渗透测试 VS 渗透测试
总结
轻量化渗透测试服务是一个面向互联网非核心资产的快速渗透测试服务,重点治理业务系统高频高危漏洞,性价比高,支持在线自助下单,按需购买,支持快速交付大范围和日常渗透测试场景,帮助用户发现系统安全漏洞,满足监管合规要求,了解企业资产安全状况,实现系统的快速上线和安全运行。
轻量化渗透测试
T-ONE CLOUD是绿盟科技“智慧安全3.0”理念的全新实践,旨在以云的思路重构安全运营体系,为用户提供弹性敏捷的安全闭环保障能力。
绿盟科技T-ONE CLOUD
T-ONE CLOUD采用云化交付的安全服务体系,提供的产品和服务包含如下范围:
产品及服务
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...