网络安全测试的重要性与挑战

关键要点

• 网络应用和API的安全性受到威胁，但大多数资产未得到充分测试，导致严重漏洞。
• 54.2%的网络安全专业人士指出，应用程序数量巨大，难以进行有效测试。
• 超过四分之一的受访者承认缺乏正式的安全测试流程。
• 自动化测试能够显著提高安全检测的频率和效率。

网络安全测试对大多数网络安全专业人士来说似乎是理所当然的事情，但现实远非如此。尽管我们的攻击面中有数以千计的暴露的网络应用和API，但许多资产仍然危险地未被测试，易受网络攻击。随着人工智能的兴起，这一数字只会继续增加。

我们最近对英国的100多名网络安全专业人士进行了调查，他们明确表示，对网络应用的威胁引起了高度关注。然而，大多数安全团队每月只进行一次应用测试，导致大量应用程序处于脆弱状态，突显出我们网络安全计划中的严重漏洞。

测试困难的原因

攻击面一直是一个动态变化的目标，随着组织技术栈的扩展和与其他客户及合作系统的集成，攻击面不断波动。然而，从长远来看，攻击面的规模只会增加，这使得跟上脚步变得更加困难。

调查显示，54.2%的受访英国网络专业人士承认，他们的组织难以应对web应用数量庞大和动态变化的问题。其他重要障碍包括受测试的API数量及每个网络应用测试所需的时间，分别被59.8%和55.1%的受访者提及。

此外，调查还揭示了一个令人震惊的事实：这些组织每季度会经历与其网络应用有关的重要安全事件，修复这些事件可能需要长达八个小时。

测试方法的多样性

组织使用多种方法来识别网络应用中的漏洞、配置错误和其他弱点，包括动态应用安全测试 (DAST)、交互式应用安全测试 (IAST) 和渗透测试（PenTesting）。然而，超过四分之一的受访者承认缺乏正式的网络应用安全测试流程。近一半的人表示，他们很少使用安全测试工具或方法来识别网络应用中的漏洞。

频繁测试和覆盖有限的原因包括：

尽管时间和资源的限制，但提高测试频率和有效性，以及实施自动化都是不可或缺的。以下是一些最佳实践：

• 持续监控 ：为组织提供持续的攻击面可见性，使其能够保持主动并有效指导修复活动。持续监控有助于早期识别漏洞，降低成功攻击的风险。
• 生产环境测试 ：在生产环境中测试，而非在沙箱或离线环境中，以确保所有影响网络应用的元素都被考虑在内。这种方法更能准确反映潜在漏洞及其影响。
• 投资DevSecOps ：为了加快开发周期并改善上市时间，组织已经在DevOps软件上进行了投资，以更快地发布代码。但他们在安全软件（DevSecOps）上的投资尚显不足，将安全集成进DevOps管道对于确保快速开发的同时不损害安全至关重要。

反思现状

大消息是：我们的组织在当今变得愈加暴露，现有的测试方法不足以确保环境的安全性。

自动化测试方法并非仅是基础要求。迅速转变可以提供更全面的覆盖，快速识别漏洞，以及更快的修复过程。

它能够通过对所有网络应用及相关API进行持续或频繁的测试，简化人工密集型流程，准确识别风险，并过滤掉低优先级的问题或事件。

自动化测试有望改善组织的安全态