我们都熟悉“信任但验证”一词。不幸的是，当涉及到保护其网络时，大多数组织都依赖于信任，但是并没有验证其安全解决方案是否能够正常工作。最近对安全运营有效性进行的调查（PDF）发现，只有37％的安全专业人员没有确凿的证据来验证其安全产品是否已正确配置和运行。缺乏测试和验证直接导致组织遭受破坏性的安全漏洞。

一半的调查受访者表示，他们发现一个或多个安全解决方案仅在该组织遭到破坏后才按预期工作。在网络防御中存在这些脆弱点的情况下，不足为奇的是，有75％的受访者表示其组织在过去的一年中经历了一次漏洞（例如未经授权的入侵，恶意软件感染或黑客入侵）。在过去三年中，有47％的用户被违反了三次或以上。

组织实施深入的测试策略以弥合这些安全漏洞并减少被破坏的风险，而不是简单地信任并希望其安全产品按预期运行，这一点至关重要。但是该策略应包括什么？

测试的三个P

在制定有效的安全测试策略时，需要考虑三个“ P”：  

•  产品，涵盖跨组织网络及其配置部署的安全工具。  

•  流程，涵盖如何安装和维护这些安全产品或服务，包括如何管理补丁和升级。

•  人员，主要关注IT和安全团队响应和补救网络事件的能力，但还包括组织的员工。  

测试安全产品

测试产品包括评估每个安全工具或服务的性能，以确保其达到预期的吞吐量水平，过滤和阻止流量。它涉及检查是否没有任何可被黑客识别和利用的错误配置（例如未更改的出厂默认密码）。它还应包括评估解决方案之间任何可能的功能重叠。

在公司发起的安全运营有效性调查中，三分之二的受访者表示他们的安全工具的功能相互重叠，而41％的受访者表示这种重叠是无意的。换句话说，组织有时将产品添加到其安全结构中，而没有适当地评估是否需要它们或检查现有解决方案是否已配置并正常工作。  

此工具的泛滥导致安全预算的浪费，增加了IT和安全团队的管理时间，并扩大了组织的攻击面。79％的调查受访者表示，如果他们可以证明安全产品无效，就会从网络中删除该产品。产品测试可以增强组织的安全状况，并有助于有效利用预算和资源。

测试流程

为确保您不会在网络中留下任何容易找到的后门，通过定期检查和应用新软件补丁程序和更新的周期来有效地管理和维护安全产品至关重要。随着新威胁和新恶意软件变种的不断涌现，至少应每月进行一次。

根据漏洞分析资源CVE Details的数据，2019年出现了超过12,000个新漏洞，其中1100个以上为严重漏洞。每月平均超过90个–因此，保持产品更新，定期进行测试周期将有助于弥补公司安全结构方面的漏洞。

培训事项

没有哪个组织拥有完全自动化的安全性：IT安全团队需要定期处理各种情况，以使其成为解决方案的一部分，而不是无意地成为问题的一部分。但是，安全运营有效性调查显示，不到50％的受访者表示，他们定期练习如何补救和从违规事件中恢复。团队需要针对现实的网络事件场景进行积极练习，以确保对真正事件的响应尽可能高效。培训还应该扩展到组织的员工，涵盖诸如如何识别恶意电子邮件或网络钓鱼尝试以及如何保护帐户凭据之类的问题。  

总之，永远不能把强大的安全性视为理所当然。网络犯罪分子不断投资于新的攻击手段和武器。组织需要确保与这些发展保持同步。这意味着要定期对安全产品，流程和人员进行测试，但是这样做的好处是更好，更有效地防御了攻击。