隨著新的威脅和敵對(duì)實(shí)體每天都在涌現(xiàn)，您的安全工具和控件是否具備應(yīng)對(duì)新威脅的能力？如果您在攻擊后發(fā)現(xiàn)您的應(yīng)用程序安全工具也存在攻擊者可以輕松利用的漏洞和漏洞怎么辦？它會(huì)給組織帶來(lái)重大的財(cái)務(wù)損失、聲譽(yù)和客戶流失。因此，必須找到一個(gè)可量化的指標(biāo)來(lái)衡量您的安全工具和控制措施的有效性，并確定您的安全策略中最薄弱的環(huán)節(jié)。這就是安全驗(yàn)證的用武之地。

關(guān)于安全工具的常見(jiàn)誤解

組織部署了廣泛的安全控制和防御措施，從Web 應(yīng)用程序掃描工具、訪問(wèn)控制、授權(quán)和身份驗(yàn)證到防火墻、反惡意軟件、WAF、滲透測(cè)試、周邊監(jiān)控等。

組織通常傾向于做出的最大假設(shè)之一是這些應(yīng)用程序安全工具始終按承諾工作。部署它們足以使組織免受威脅。然而，這并不總是成立。即使部署最好的應(yīng)用程序安全評(píng)估工具和安全技術(shù)也可能會(huì)動(dòng)搖。

這里有些例子。

• 它們可能部署不正確。
• 您組織中的不同團(tuán)隊(duì)可能無(wú)法正確使用它們。
• 它們可能不會(huì)定期更新和/或修補(bǔ)。
• 這些工具可能不會(huì)增加最新的全球威脅情報(bào)。
• 構(gòu)建工具的規(guī)則可能無(wú)法根據(jù)組織的環(huán)境和風(fēng)險(xiǎn)狀況進(jìn)行定制。
• 這些工具可以使用開(kāi)源和/或第三方代碼/組件構(gòu)建。如果第三方的安全性存在問(wèn)題，那么您的 Web 應(yīng)用程序安全工具也可能存在漏洞和弱點(diǎn)。

研究表明 ，53% 的攻擊在他們不知情的情況下成功入侵了組織的數(shù)字基礎(chǔ)設(shè)施。在其余 47% 的不成功嘗試中，只有 25% 被檢測(cè)到。

只有 9% 的案例向安全團(tuán)隊(duì)發(fā)送了警報(bào)。此外，只有 4% 的偵察活動(dòng)向安全團(tuán)隊(duì)發(fā)出警報(bào)。這表明嚴(yán)重缺乏對(duì)安全有效性的可見(jiàn)性。除此之外，組織使用各種復(fù)雜的安全防御措施，這可能會(huì)進(jìn)一步降低可見(jiàn)性。

另一個(gè)重要假設(shè)是攻擊者只針對(duì)大公司而不是中小企業(yè)。54% 的小企業(yè)認(rèn)為他們太小而無(wú)法成為攻擊者的目標(biāo)。因此，中小企業(yè)要么不需要安全防御，要么只需部署一些工具即可確保持續(xù)的安全有效性和效率。

數(shù)據(jù)表明并非如此！ 43% 的攻擊 針對(duì)的是中小企業(yè)。60% 的小企業(yè)在受到攻擊后的 6 個(gè)月內(nèi)倒閉。由于這些假設(shè)，組織往往會(huì)錯(cuò)過(guò)重要的威脅。他們以虛假的安全感和保護(hù)水平開(kāi)展業(yè)務(wù)，這使他們很容易成為攻擊者的目標(biāo)。因此，有必要對(duì)所有安全工具進(jìn)行持續(xù)驗(yàn)證。

什么是安全驗(yàn)證？它如何提高安全有效性和效率？

工具的安全驗(yàn)證使組織能夠量化地確保其安全防御、程序和系統(tǒng)在快速發(fā)展的威脅環(huán)境中是有效的、可操作的、有效的和高效的。通過(guò)在安全條件下模擬現(xiàn)實(shí)世界的網(wǎng)絡(luò)攻擊，安全驗(yàn)證使組織能夠發(fā)現(xiàn)現(xiàn)有安全工具和防御中任何被忽視的漏洞。它可以幫助組織有效地衡量安全防御和計(jì)劃中的差距和弱點(diǎn)。這些驗(yàn)證測(cè)試通過(guò)像威脅參與者一樣行動(dòng)和思考來(lái)幫助組織改善其安全態(tài)勢(shì)。

現(xiàn)代安全驗(yàn)證超越了合規(guī)性測(cè)試和檢查配置設(shè)置。它涉及攻擊模擬（在安全條件下）、數(shù)據(jù)驅(qū)動(dòng)的評(píng)估和基于證據(jù)的測(cè)試等，以驗(yàn)證應(yīng)用程序安全評(píng)估工具和其他安全控制。誤報(bào)報(bào)告、安全審計(jì)、事件響應(yīng)量等是安全驗(yàn)證中使用的一些方法。

安全驗(yàn)證通過(guò)以下方式幫助提高安全有效性和效率：

• 識(shí)別安全防御中最薄弱的環(huán)節(jié)并提高網(wǎng)絡(luò)彈性。
• 安全工具/防御是否可以被破壞的量化證據(jù)。
• 將質(zhì)量保證融入安全實(shí)踐。
• 確保安全控制的可靠性，同時(shí)檢測(cè)合規(guī)性問(wèn)題。
• 了解組織面臨的風(fēng)險(xiǎn)。
• 為組織開(kāi)發(fā)一個(gè)強(qiáng)大的威脅模型，專注于高優(yōu)先級(jí)風(fēng)險(xiǎn)和關(guān)鍵任務(wù)資產(chǎn)。

結(jié)論

隨著威脅形勢(shì)的快速發(fā)展、攻擊的日益復(fù)雜以及威脅參與者不斷尋找網(wǎng)絡(luò)中的弱點(diǎn)，任何組織都不應(yīng)該感到完全安全。您必須確保 Web 應(yīng)用程序安全工具和控件始終有效地保護(hù)您的應(yīng)用程序。持續(xù)的安全驗(yàn)證可確保安全防御工具不會(huì)隨著時(shí)間的推移而成為貨架軟件。驗(yàn)證安全工具，使組織能夠像威脅參與者一樣思考和行動(dòng)，發(fā)現(xiàn)安全防御中的弱點(diǎn)，并提高安全有效性和效率。