日期:
来源:FreeBuf收集编辑:晶颜123
渗透测试是一种模拟的安全攻击,本质上是企业针对自己的系统进行的一种攻击演习,以检查可利用的漏洞。渗透测试主要针对应用程序编程接口、服务器和任何泄露的入口点,以实现web应用防火墙的安全性。
安全公司Pentera通过调查300名安全高管得出的《渗透测试年度报告》发现,92%的组织正在提高其整体IT安全预算;86%的人正在增加渗透测试的预算。
其中,欧洲的渗透测试和IT安全预算的增长速度比美国更为显著,42%的欧洲受访者表示他们的渗透测试预算增长了10%以上,而美国的受访者只有17%。据估计,到2026年,渗透测试市场将增长24.3%,主要参与者包括IBM、Rapid7、FireEye、Veracode以及Broadcom。
云和基础设施服务是渗透测试的重点
Pentera的研究发现,平均而言,公司有44个安全解决方案,这表明了一种纵深防御战略,即多层安全解决方案以最好地保护关键资产。尽管在这些所谓的“纵深防御”战略上投入了大量资金,但Pentera调查的88%的组织最近仍遭受了网络攻击。
该调查提供了测试最多的基础设施层的分类:
云基础设施和服务(44%); 面向外部的资产(41%); 核心网络(40%); 应用程序(36%); 活动目录和密码评估(21%);
安全控制和验证(41%); 评估攻击的潜在损害(41%); 网络保险(36%); 法规遵从和合规性(22%);
“我们得出的结论是,CISO必须更加重视对整个安全堆栈的验证,以确保他们能够有效地减少风险。”
大多数CISO会尽快与IT共享渗透测试结果
“人们过去习惯于获得基于合规的结果,并把它放在一个盒子里进行认证。但你现在看它会发现它已经改善了很多,部分原因是更多人开始关注网络保险,这是他们能够理解的事情。”
董事会(43%的CISO优先上报到这里); 高管级同事(38%); 客户(30%); 监管机构(20%); 档案(9%); 不共享(3%);
对白帽黑客的障碍和抵抗
渗透测试vs红队测试:异同?
2023年渗透测试的驱动力
“这几乎是每一次攻击的起点。然而,我认为,人们对证书安全的概念理解将会更好,在日常运营中,人们对身份控制的意识将会大大提高。”
精彩推荐