英国议会目前正在审议《电信安全法案》。它寻求为英国电信部门引入一个新的安全框架,以确保公共电信提供商运营安全、有弹性的网络和服务,并适当地管理其供应链。和许多行业一样,电信业依赖被动安全已经太久了。虽然该法案引入的新规则并没有优先考虑以安全编码为主导的根深蒂固的安全方法,但它确实引入了一系列测试,以确保提供商符合政府标准。那么,该法案到底意味着什么?这些新规则将如何确保该行业的安全风险和妥协最小化?
简而言之,该法案旨在赋予政府前所未有的新权力,以提高英国电信网络的安全标准,同时消除高风险供应商的威胁。这些措施包括对华为5G设备的使用进行新的控制,包括从今年年底开始禁止购买新的华为设备,并承诺到2027年将所有华为设备从5G网络中移除。
然而,新规定的另一个重要因素是渗透测试法律的变化。电信供应商将被要求每年对其网络进行渗透测试。虽然许多人已经这样做了,但新的规定将使这种做法成为强制性的。
那么,渗透测试是什么?它的强制实施能确保电信供应商更安全吗?
渗透测试(又名渗透测试或道德黑客)是一种安全技术,旨在识别、测试和突出IT系统中的漏洞。这是通过允许道德黑客模拟网络攻击来测试计算机系统、网络、网站或应用程序的安全性来实现的。通过模拟黑客使用的方法,该模拟有助于识别进入公司IT基础设施的易受攻击的入口点,并根据可能的现实场景测试安全网络的强度。
对于企业来说,将其安全基础设施进行测试是一个重要的考虑因素,从代码到网络,通过每个It系统及其结构的单独流程进行测试。这允许在真正的黑客利用它们之前突出特定的漏洞,这对安全团队和使用网络的客户都有好处。许多电信供应商已经使用渗透测试方法,因为它仍然是确保it基础设施安全的关键步骤。事实上,市场与市场最近有报道称,到2025年,渗透测试仍有望成为一个价值45亿美元的产业。通过将渗透测试作为拟议电信法案的一部分,未能遵守将意味着巨额罚款(高达营业额的10%)。
虽然渗透测试显然是确保电信网络安全的一个不可或缺的元素,而且多年来一直是大多数政府的普遍做法,但重要的是要注意,它不是任何组织提供的一站式安全服务。
首先,渗透测试的成功很大程度上依赖于渗透测试者的经验水平。如果所选择的专业黑客缺乏特定IT系统或应用程序的经验,则不能确定您的基础结构是否经过全面测试。最终,渗透测试人员不太可能在他们的模拟中发现每个安全问题或可能的入口点。渗透测试不是一个完整的安全审计,不应该与安全审计同等重要。此外,通常情况下,安全团队在渗透测试进行时已经做好了准备。显然,这并不能代表真正的网络攻击,在这种攻击中,安全漏洞通常是未经宣布和意想不到的。
有更有效的方法来最大限度地提高电信安全,其中许多在拟议的政府法案中都没有。这些解决方案包括(但不限于)良好的安全文化、细心的执行领导和提高开发人员的安全技能。许多公司和政府机构正在寻求建立更强大的安全计划,以跟上关键安全发展的步伐,他们已经在研究一种更具预防性的方法,然而,在任何防御性安全计划中,人员因素都是一个关键考虑因素,这是必不可少的。
如果参与代码创建和执行的人员受过适当的培训,并且更有安全意识,那么缓慢而复杂的渗透测试就不太可能发现可能导致大问题的常见错误,并且可以将重点放在开发人员永远不会被期望解决的专家级问题上。
总而言之,形成电信法案的新规定对行业来说是一个积极的举动。
随着渗透测试成为强制性的,更多的漏洞将被凸显出来,电信网络将在默认情况下变得更加安全。然而,为了确保最安全的结果,将渗透测试与其他安全方法结合使用是很重要的,例如从一开始就提高开发人员的安全技能。
