自動化滲透測試能否解決網路安全技能差距？

對於現代企業來說，現代威脅環境是一個巨大的挑戰。許多企業透過從最新的熱門供應商那裡購買最新的安全產品來 "解決 "這個問題，並希望能以此為他們提供保護，但越來越多的人慢慢認識到，這並不足以保護他們的組織。

自動化滲透測試和安全人才缺口

工具和掃描器很好用，但那些只能找到已知的漏洞。許多漏洞只有經過培訓的安全專家才能發現。不幸的是，缺乏訓練有素、合格的安全專業人員加劇了組織面臨的挑戰。

安全人才的缺口並沒有變小，人們正在想出一些荒唐的想法來彌補這個缺口。最新的一個是自動滲透測試，這個想法的思路是，我們可以以某種方式建立機器人來探測企業的防禦系統並發現漏洞。但問題是，這與滲透測試的含義截然相反。真正的滲透測試不是自動掃描工作。真正的滲透測試是利用一個有經驗的網路專家的創造性思維來進行的。

滲透測試的全部意義在於具有創造性，從攻擊者的角度思考，並識別機器和其他預內建邏輯無法識別的漏洞，從而領先網路犯罪分子一步。當我們教機器人識別和解決一些漏洞時，駭客會變得更有創意並找到新的漏洞來繞過這些自動檢查的檢測。

我們應該儘可能多地自動化，但僅依賴於您的系統和網路的自動化安全測試並不能保護您的企業。解決這個問題的唯一方法是與優秀的網路安全專業人員合作。

為什麼思維方式的轉變是關鍵

安全團隊需要具有對抗性或駭客的思維方式，即他們必須像攻擊者一樣思考。他們需要領先於網路犯罪分子一步，並就需要採取的重要行動及時向組織的其他成員提供建議。

並非每個漏洞都是顯而易見的。保護企業的最佳方法是讓防禦者像攻擊者一樣思考，並在每次似乎遇到死衚衕時更加努力，不要輕易放棄他們認為沒有意義的事情。成功防禦系統、網路和應用程式不僅需要了解攻擊者可以使用的工具，還需要了解他們如何使用這些工具以及何時使用它們。這需要大量的判斷力，多找一些問題，而這些問題無法透過自動化測試來完成。自動化測試的好壞取決於您告訴他們要查詢和執行的操作。使安全變得困難的是，攻擊者每次都在做不同的新事情。

攻擊者不需要一個巨大的漏洞來影響組織——他們很有耐心，等待個人犯錯，透過網路釣魚或社會工程讓他們進入。一旦進入，他們就會進入網路或提升許可權以獲得越來越多的敏感系統和資料。

嚴重的駭客攻擊和資料洩露通常始於小事故。由於大多數系統和網路的設計沒有必要的安全防禦機制，因此將一些小漏洞連結起來產生破壞性影響的情況並不少見。

此外，攻擊者不斷開發新的惡意軟體有效載荷並測試新的威脅載體。真正實現公平競爭的唯一方法是與對手一樣富有創造力和堅持不懈的人類防守者。防禦者還需要及時瞭解最新的漏洞利用、駭客技術、惡意軟體等。

縮小網路安全技能差距

在網路安全技能方面的差距是一個人的問題，但它不只是要找到足夠的人來操作的工具，因為這些工具本身是不夠的。所有工具都有保質期，攻擊者找到解決方法只是時間問題。

如果我們真的要解決安全問題，我們需要加強對所有人的安全意識培訓。我們需要培訓設計和構建系統以及網路的人員具有攻擊者思維。我們必須確保我們培訓的安全專業人員能夠像攻擊者一樣思考，及時瞭解最新的漏洞利用和安全問題。

毫無疑問，我們需要更多合格的安全專業人員，解決人才短缺的問題沒有靈丹妙藥。您不必成為 IT 專家即可進入安全領域。你需要有一顆好奇的心，是一個創造性的問題解決者，願意付出汗水來學習這門手藝，不要輕易放棄並繼續前進。

優秀的候選人可以來自組織的許多部門，譬如系統管理員、網路工程師、Web 開發人員、客戶支援成員，甚至是應屆畢業生。雖然他們無法一蹴而就，但他們將具備在安全方面取得成功的基本特徵。

安全問題歸根結底是人的問題。掃描器、工具和自動化測試可以提供幫助，但要真正解決這個問題，需要多層次的人類創造力來解決它。