10月14日消息，新型连续自动化渗透和攻击测试 (Continuous Automated Penetration and Attack Testing, CAPAT) 工具将帮助首席信息安全官们更好地了解他们的弱点，并确定修复工作的优先级。与两年前相比，如今企业中的网络风险管理工作变得更加困难。在最近的一项 ESG 研究调查中，73% 的安全专家如是说。（注：原文作者为 ESG 员工。）为什么会这样呢？受访者指出，攻击面不断扩大，软件漏洞数量不断增加，网络攻击者的技术实力也在不断提高。

组织机构如何降低日益增长的网络风险？一种常见的方法是通过红队测试和渗透测试等演习，更好地掌握现有的网络防御能力。

很多组织机构已经通过实施渗透测试或红队测试，根据所得数据来衡量安全团队的表现，并与 IT 主管们一起审查结果，重新评估安全控制和流程——这些都是有价值的。

但问题是：大多数组织机构每年都会进行一到两次这样的演戏。此外，ESG 研究表明，在 75% 的组织机构中，渗透测试和红色测试仅持续两周或更短的时间。虽然渗透测试和红队测试很有价值，但成本可能很高，而且很少有组织机构拥有专业人员或高级技能来自己进行这些演习，或者通过第三方服务来提高测试频率。

在瞬息万变的 IT 环境中，仅仅花两周时间进行安全防御工作是远远不够的。

    连续自动化渗透和攻击测试可能能帮得上忙  

幸运的是，有一个新兴的有前途的网络安全技术市场，ESG 称其为连续自动渗透和攻击测试 (CAPAT)。CAPAT 并没有雇用经验丰富的渗透测试团队或白帽黑客，而是通过模拟网络钓鱼邮件，社会工程或应用层漏洞等技术来模仿攻击者的行为，以排查网络安全链中的薄弱环节。

与倾向于静态攻击模式的人不同，CAPAT 工具可以不断更新，以覆盖最新的攻击战术、技术和过程 (TTPs)，这样组织机构就可以评估他们对当前攻击的防御能力——而不仅仅是通过靠得住的白帽黑客工具集。一些工具在扫描和学习组织机构网络特性时，能够通过机器学习对攻击方式稍作调整。该领域的供应商包括 AttackIQ、Cymulate、Randori、SafeBreach、Verodin 和 XM Cyber。

正确使用这些工具可以真正帮助组织机构改善网络风险度量/管理。换句话说，CISO 们可以了解他们的弱点，并确定修复工作的优先级。这也能够提高网络安全支出的投资回报率，使安全团队能够根据数据而不是有根据的推测，把预算用在高优先级领域。

    使用CAPAT工具的好处  

你可能看出来我看好这项技术，而且我相信组织机构将在未来 18 到 24 个月内测试、试点和部署工具。当他们这样做时：

首席信息安全官们终于拥有了能够展示的实时网络风险指标。首席财务官们明白增加网络安全预算的必要性，但对于一个显而易见的问题他们似乎无法得到答案：“我的钱能带来什么？” 首席信息安全官们将通过 CAPAT 工具得到指标，然后和高管以及公司董事会呈现风险和财务管理数据，以提高决策能力，并最终回答首席财务官对资金的疑问。

红队和蓝队可能会翻脸。以我的经验，由于技能，工具和流程的不同，红队和蓝队经常在协作方面存在问题。CAPAT 工具可以提供通用数据来统一这些团队。

CAPAT 可能会主导渗透测试。一旦测试人员发现一个易受攻击的系统或入口，渗透测试可能就会结束。CAPAT 有民主化高级红队的潜力。在这种情况下， CAPAT 将推进渗透测试，演示攻击如何从网络渗透影响整个杀伤链。仅这一点就对安全工作极有价值。

CAPAT 成为了 SOAPA 的一部分。安全运行工具，如安全事件和事件管理 (SIEM)、端点检测和响应 (EDR) 和网络流量分析 (NTA)，往往侧重于威胁管理，而不是风险管理。CAPAT 数据将成为这些工具，以及更集成的安全运行和分析平台架构 (Security Operations and Analytics Platform Architecture, SOAPA) 的重要输入，以帮助应对威胁和漏洞。当发现新的威胁时，SOC 团队可以通过 CAPAT 工具来了解自己是否容易受到类似的攻击。CAPAT 数据还将与 MITER ATT＆CK 框架等内容结合起来，帮助 SOC 团队特征化模拟攻击并指导他们进行有逻辑的调查。