渗透测试自动笔测试与手动相比如何?
渗透测试为公司提供了现有安全措施的成功或缺点的图片。然后,这张图片可以用来调整安全程序,并主动发现漏洞。虽然大多数公司都熟悉并进行手动笔测试,但自动化笔测试已成为近年来考虑的一个选项。自动笔测试与手动相比如何?一个比另一个好吗?让我们探讨一下每种方法的优缺点。
渗透测试自动笔测试与手动相比如何?
手动笔测试利弊
手动笔测试的最大好处是它提供了灵活性,并且更有可能发现和减轻测试系统中的漏洞。手动笔测试可以发现自动化测试可能遗漏的更聪明的漏洞和攻击,例如盲目SQL注入袭击、逻辑缺陷和访问控制漏洞。训练有素的专业人员可以在手动笔测试中检查应用程序对这种攻击的响应,有可能捕捉到对自动化软件来说看似合法但实际上是一个问题的响应。
一些笔测试也只能手动执行。如果一家公司想检查社会工程准备例如,需要手动笔测试,尤其是在测试可视化。
手动笔测试还可以在寻找缺陷时发挥更大的创造力。TechTarget旗下企业战略集团分析师Jon Oltsik表示:“一个优秀的渗透测试人员会利用自己的直觉,根据测试结果,可能会选择朝着意想不到的方向进一步进行测试。
手动笔测试的另一个好处是手头有一个专家来审查报告。同时自动笔测试工具也生成报告,安全分析师仍需审查和修复许多问题检测到。
手动笔测试的最大缺点是成本和时间。取决于笔测试的彻底性,可能需要几周才能得到结果,这并不总是理想的——尤其是如果存在重大漏洞的话。
手动笔测试也可能很昂贵,这就是为什么许多公司这样做只是为了满足合规性和法规要求。当公司负担不起内部红队或笔测试团队时,第三方服务提供商被用于测试需求——另一个成本。
自动笔测试的优缺点
笔测试既复杂又昂贵,因此许多公司很少进行测试。通过自动化测试更便宜、更容易获得的好处可能会改变这种情况。
Gartner分析师米切尔·施耐德(Mitchell Schneider)表示:“组织希望进行更频繁的测试。“我们从自动化笔测试工具中看到的好处之一是测试频率的增加。公司希望及时解决相关的风险和威胁,而不是等待安排测试。”
频繁的自动化笔测试也有助于公司评估他们的整个计算机系统,这些系统可能比测试发生得更频繁地得到更新——例如,在快速发布周期中。弗雷斯特研究公司的分析师杰夫·波拉德说:“你需要一些自动化的东西来真正了解环境。
自动化笔测试的另一个好处是,它释放了安全分析师的时间,这样他们就可以将注意力集中在测试期间可能被搁置的其他任务上。自动化还可以处理重复的任务,这些任务不一定复杂,但对人类来说完成起来很耗时。
自动笔测试的一个潜在缺点是,分析师仍将其视为一个新兴市场。“独立的自动化工具在过去的几年里有所发展,”奥尔特西克说。“随着风险资本投资的继续,这是一个不断创新和增长的市场。”
自动化的另一个缺点是测试结果取决于渗透工具本身有多好,以及使用它的人有多有知识。“自动化测试的包袱是人,”奥尔特西克说。“软件只有你的知识库好。你必须针对漏洞设计特定的策略和技术。”例如,如果笔测试软件开发人员没有做好他们的工作,那么自动化笔测试是有缺陷的,可能会错过关键问题。
有些人还担心自动化工具会取代人工笔测试人员,但奥尔特西克说,情况未必如此。“有可能这些测试变得非常好,你只需要监督者和审计员来管理自动化测试,”他说。“但在不久的将来,我不会看到这种情况。”
此外,自动化笔测试在功能上仍然受到限制,并且不能针对每个测试场景进行部署。例如,大多数工具都不支持无线网络、网络应用和社交工程上的笔式测试。
结合手动和自动笔测试
当谈到选择手动还是自动笔测试时,通常不是非此即彼的问题。相反,自动笔测试工具应该增加手动笔测试工作。
施耐德说,自动化笔测试工具不会完全适用于所有类型的笔测试。“而且,至少在接下来的几年里,他们永远不会完全取代钢笔测试员或红队,”他补充说。
自动化还支持的另一个选项是渗透测试即服务(PTaaS)。一些服务已经可以从供应商处获得,如NetSPI、钴矿和Pentest People。PTaaS产品是手动和自动笔测试的混合,使公司更容易满足特定的笔测试需求,例如满足合规性或法规要求。