隨著新的威脅和敵對實體每天都在涌現，您的安全工具和控件是否具備應對新威脅的能力？如果您在攻擊后發現您的應用程序安全工具也存在攻擊者可以輕松利用的漏洞和漏洞怎么辦？它會給組織帶來重大的財務損失、聲譽和客戶流失。因此，必須找到一個可量化的指標來衡量您的安全工具和控制措施的有效性，并確定您的安全策略中最薄弱的環節。這就是安全驗證的用武之地。

關于安全工具的常見誤解

組織部署了廣泛的安全控制和防御措施，從Web 應用程序掃描工具、訪問控制、授權和身份驗證到防火墻、反惡意軟件、WAF、滲透測試、周邊監控等。

組織通常傾向于做出的最大假設之一是這些應用程序安全工具始終按承諾工作。部署它們足以使組織免受威脅。然而，這并不總是成立。即使部署最好的應用程序安全評估工具和安全技術也可能會動搖。

這里有些例子。

• 它們可能部署不正確。
• 您組織中的不同團隊可能無法正確使用它們。
• 它們可能不會定期更新和/或修補。
• 這些工具可能不會增加最新的全球威脅情報。
• 構建工具的規則可能無法根據組織的環境和風險狀況進行定制。
• 這些工具可以使用開源和/或第三方代碼/組件構建。如果第三方的安全性存在問題，那么您的 Web 應用程序安全工具也可能存在漏洞和弱點。

研究表明 ，53% 的攻擊在他們不知情的情況下成功入侵了組織的數字基礎設施。在其余 47% 的不成功嘗試中，只有 25% 被檢測到。

只有 9% 的案例向安全團隊發送了警報。此外，只有 4% 的偵察活動向安全團隊發出警報。這表明嚴重缺乏對安全有效性的可見性。除此之外，組織使用各種復雜的安全防御措施，這可能會進一步降低可見性。

另一個重要假設是攻擊者只針對大公司而不是中小企業。54% 的小企業認為他們太小而無法成為攻擊者的目標。因此，中小企業要么不需要安全防御，要么只需部署一些工具即可確保持續的安全有效性和效率。

數據表明并非如此！ 43% 的攻擊 針對的是中小企業。60% 的小企業在受到攻擊后的 6 個月內倒閉。由于這些假設，組織往往會錯過重要的威脅。他們以虛假的安全感和保護水平開展業務，這使他們很容易成為攻擊者的目標。因此，有必要對所有安全工具進行持續驗證。

什么是安全驗證？它如何提高安全有效性和效率？

工具的安全驗證使組織能夠量化地確保其安全防御、程序和系統在快速發展的威脅環境中是有效的、可操作的、有效的和高效的。通過在安全條件下模擬現實世界的網絡攻擊，安全驗證使組織能夠發現現有安全工具和防御中任何被忽視的漏洞。它可以幫助組織有效地衡量安全防御和計劃中的差距和弱點。這些驗證測試通過像威脅參與者一樣行動和思考來幫助組織改善其安全態勢。

現代安全驗證超越了合規性測試和檢查配置設置。它涉及攻擊模擬（在安全條件下）、數據驅動的評估和基于證據的測試等，以驗證應用程序安全評估工具和其他安全控制。誤報報告、安全審計、事件響應量等是安全驗證中使用的一些方法。

安全驗證通過以下方式幫助提高安全有效性和效率：

• 識別安全防御中最薄弱的環節并提高網絡彈性。
• 安全工具/防御是否可以被破壞的量化證據。
• 將質量保證融入安全實踐。
• 確保安全控制的可靠性，同時檢測合規性問題。
• 了解組織面臨的風險。
• 為組織開發一個強大的威脅模型，專注于高優先級風險和關鍵任務資產。

結論

隨著威脅形勢的快速發展、攻擊的日益復雜以及威脅參與者不斷尋找網絡中的弱點，任何組織都不應該感到完全安全。您必須確保 Web 應用程序安全工具和控件始終有效地保護您的應用程序。持續的安全驗證可確保安全防御工具不會隨著時間的推移而成為貨架軟件。驗證安全工具，使組織能夠像威脅參與者一樣思考和行動，發現安全防御中的弱點，并提高安全有效性和效率。