基于云化战略的轻量化渗透测试

在2022RSA大会中，来自Cobalt的Caroline Wong以《大规模渗透测试的实践》为题进行分享，提出用PtaaS(Pentest as a Service)来解决问题。

Caroline Wong在分享中表示：2021年，各大企业或机关对其管理下的应用进行过渗透测试的比例从2013-2016年的10%上升到63%。尽管如此，一旦近40%的站点被攻破，攻击者将有机会对整个内网进行打击。可以看出仍然有大量的应用“裸奔”在互联网上，亟需开展渗透测试工作。

Caroline Wong表示尽管网络已经比过去更加安全，但远远没有达到我们想要的高度。历时18年，OWASP TOP 10中除改变了漏洞排行及命名以外，漏洞类型基本维持不变。

议题分享者Caroline Wong认为造成这一原因的主要因素是：

1、不便捷 （漏洞发现、漏洞修复）

• 需要在企业内部申请渗透测试，或通过乙方购买渗透测试服务。

• 测试后涉及的修复流程非常繁琐。

2、枯燥无味

• 用户往往在出现安全事件时，才意识到安全工作的必要性，漏洞在没有被利用的情况下对企业来说感知较弱，频繁重复的渗透测试让用户索然无味。

3、成本问题（时间、预算）

为解决上述问题，Caroline Wong分享了PtaaS服务模型。与传统渗透测试相比，PtaaS (Pentest as a Service) 具有以下几个优点：

• Cost，相比于传统渗透测试PtaaS的价格较低

• Flexibility，灵活的下单流程、测试时间及需要测试的站点数量

• On-demand，按需下单

• Redundancy，资源冗余

• Workloads，强大的资源池

基于云化战略的轻量化渗透测试是绿盟科技在探索PtaaS道路上推出的一项新服务，是一种全新的渗透测试方法论，该服务基于云平台集成工具扫描和专家交付资源池，同时具备以下三个特点：

支持用户在线下单，测试/复测申请，云端快速完成待测目标的工具扫描+人工测试，最终由平台生成报告，节约时间和成本。

实时跟踪漏洞状态，协助用户闭环修复漏洞。

全方位分析和展示企业资产安全状况。

轻量化渗透测试服务是一个面向互联网非核心资产的快速渗透测试服务，重点治理业务系统高频高危漏洞，性价比高，支持在线自助下单，按需购买，支持快速交付大范围和日常渗透测试场景，帮助用户发现系统安全漏洞，满足监管合规要求，了解企业资产安全状况，实现系统的快速上线和安全运行。

T-ONE CLOUD是绿盟科技“智慧安全3.0”理念的全新实践，旨在以云的思路重构安全运营体系，为用户提供弹性敏捷的安全闭环保障能力。

T-ONE CLOUD采用云化交付的安全服务体系，提供的产品和服务包含如下范围：