自动化渗透测试能否解决网络安全技能差距

何静

对于现代企业来说，现代威胁环境是一个巨大的挑战。许多企业通过从最新的热门供应商那里购买最新的安全产品来解决"这个问题，并希望能以此为他们提供保护，但越来越多的人慢慢认识到，这并不足以保护他们的组织。

自动化渗透测试和安全人才缺口

工具和扫描器很好用，但只能找到已知的漏洞，许多漏洞只有经过培训的安全专家才能发现。不幸的是，缺乏训练有素、合格的安全专业人员加剧了组织面临的挑战。

安全人才的缺口并没有变小，人们正在想出一些荒唐的想法来弥补这个缺口。最新的一個是自动渗透测试，这个想法的思路是以某种方式创建机器人来探测企业的防御系统并发现漏洞。但问题是，这与渗透测试的含义截然相反，真正的渗透测试不是自动扫描工作，而是利用有经验的网络专家的创造性思维来进行的。

渗透测试的全部意义在于其具有创造性，从攻击者的角度思考，并识别机器和其他预内置逻辑无法识别的漏洞，从而领先网络犯罪分子一步。当我们教机器人识别和解决一些漏洞时，黑客会变得更有创意并找到新的漏洞来绕过这些自动检查的检测。

我们应该尽可能多地自动化，但仅依赖于系统和网络的自动化安全测试并不能保护企业。解决这个问题的唯一方法是与优秀的网络安全专业人员合作。

为什么思维方式的转变是关键

安全团队需要具有对抗性或黑客的思维方式，即他们必须像攻击者一样思考。他们需要领先于网络犯罪分子一步，并就需要采取的重要行动及时向组织的其他成员提供建议。

并非每个漏洞都是显而易见的。保护企业的最佳方法是让防御者像攻击者一样思考，并在每次似乎遇到死胡同时更加努力，不要轻易放弃他们认为没有意义的事情。成功防御系统、网络和应用程序不仅需要了解攻击者可以使用的工具，还需要了解他们如何使用这些工具以及何时使用。这需要大量的判断力，多找一些问题，而这些问题无法通过自动化测试来完成。自动化测试的好坏取决于告诉他们要查找和执行的操作，使安全变得困难的是，攻击者每次都在做不同的新事情。

攻击者不需要一个巨大的漏洞来影响组织———他们很有耐心，等待个人犯错、通过网络钓鱼或社会工程进入。一旦进入，他们就会进入网络或提升权限以获得越来越多的敏感系统和数据。

严重的黑客攻击和数据泄露通常始于小事故。由于大多数系统和网络的设计没有必要的安全防御机制，因此将一些小漏洞链接起来产生破坏性影响的情况并不少见。

此外，攻击者不断开发新的恶意软件有效载荷并测试新的威胁载体。真正实现公平竞争的唯一方法是与对手一样富有创造力和坚持不懈。防御者还需要及时了解最新的漏洞利用、黑客技术以及恶意软件等。

缩小网络安全技能差距

在网络安全技能方面的差距是人的问题，但它不只是要找到足够的人来操作的工具，这些工具本身是不够的，所有工具都有保质期，攻击者找到解决方法只是时间问题。

如果真的要解决安全问题，需要加强对所有人的安全意识培训，需要培训设计和构建系统以及网络人员具有攻击者思维。必须确保培训的安全专业人员能够像攻击者一样思考，及时了解最新的漏洞利用和安全问题。

毫无疑问，我们需要更多合格的安全专业人员，解决人才短缺的问题没有灵丹妙药。不必成为IT专家即可进入安全领域，需要有一颗好奇的心，是一个创造性的问题解决者，愿意付出汗水来学习这门手艺，不要轻易放弃并继续前进。

优秀的候选人可以来自组织的许多部门，譬如系统管理员、网络工程师、Web开发人员、客户支持成员，甚至是应届毕业生。虽然他们无法一蹴而就，但他们将具备在安全方面取得成功的基本特征。

安全问题归根结底是人的问题。扫描仪、工具和自动化测试可以提供帮助，但要真正解决这个问题，需要多层次的人类创造力来解决它。