HILL12/17刊發JONATHANREIBER的文章，分析當下維護網路安全的艱難和一些新手法，尤其是利用機器人實施網路攻擊來檢測網路防禦。指出，如果你不傭機器人來攻擊你的網路，你的安全工作就做得肯定有問題。因為，遵守國防部新的網路安全法規需要硬資料，那種幾乎需要自動化來編制的資料。

就在國防部負責採購、技術和後勤的副部長辦公室門外，當弗蘭克-肯德爾和阿什-卡特在2008年管理該組織時，肯德爾豎起了一塊牌子，上面寫著：我們相信上帝，但所有其他人都必須帶來資料。

當你面對龐大的軍隊和複雜的世界時，你需要真實的、可驗證的資料來進行決策，無論是打擊對手、投資一支主要部隊或武器專案，還是僱傭一名新的高階領導人來指揮一個組織。在每種情況下，你都需要資料來做出艱難的選擇。缺少它，就無法進行有效的管理，並會增加風險。

多年來，國防部一直試圖提升其承包商的網路安全，以防止網路入侵。政府問責官在今年夏天的報告中指出，儘管整個國防部採取了重大舉措，但是，依然有太多的主要國防專案，往往達不到其網路安全標準。

沒有人喜歡規章制度，但是，他們更不喜歡敵對的民族國家在國家安全相關網路上打探訊息，竊取國防資訊。多年來試圖說服政府機構和私營公司，讓他們更好地準備抵禦網路威脅的努力，但是，實際上常常無疾而終。這樣，迫使他們這樣做的法規的到來，就成為美國防禦向前的一大步。這些法規的名稱是《國防部的網路安全成熟度模型認證》。簡而言之，它們要求國防部承包商遵循嚴格的規則，旨在保護國防部供應鏈中的非機密資訊。未能達到國防部標準的承包商，可能就會發現自己被拒絕接受國防部的業務。

許多私營公司對合規任務望而生畏，這是完全可以理解。對此，首先要做的就是資料。更具體地說，首席資訊保安官需要一種方法來評估他們的系統，併產生真實的、細化的效能資料，以向安全審計人員展示公司正在以所需的有效性水平執行。這一要求將推動許多公司走向自動化測試。例如，一個軟體平臺可能會借鑑MITRE ATT&CK框架，這是一種已知威脅行為者、戰術、技術及其行為常識的"週期表"。

MITRE公司是一家由聯邦政府資助的非營利性研發機構，致力於公共利益，它在2015年建立併發布了最初的ATT&CK框架，以幫助世界各地的防禦者關注對網路安全最重要的威脅。此後，ATT&CK作為一個經過全球稽核的、獨一無二的、全來源的對手行為庫，在公共和私營部門獲得了發展勢頭。它為組織提供了一個穩定的框架，組織可以據此設計他們的防禦措施。

在使用MITRE ATT&CK的過程中，一個好的漏洞和攻擊模擬平臺應該自動部署場景，對公司的網路防禦能力進行艱苦的探測、評估和驗證。如今，漏洞和攻擊模擬市場，是一個蓬勃發展的創新領域，有少數的解決方案，少數的領導者，以及有競爭力的價格，無論是內部部署還是軟體服務部署。

自動安全測試以人工測試無法做到的足夠規模的方式，確保銳化組織防禦和能力。在紅、藍、白團隊的支援下，測試平臺可以發現配置錯誤，揭示操作人員的錯誤，並找出防禦措施的漏洞。

透過模擬對手的戰術，如橫向移動或許可權升級，一個好的漏洞和攻擊模擬平臺，就可以測試一流的網路防禦技術，旨在防止像Sunburst這樣的惡意軟體在資料中心蔓延，就像最近的Solar Winds入侵事件一樣。最終，自動化測試平臺會生成效能資料，以幫助組織充分利用其寶貴的防禦資源。

這種方法不僅可以幫助承包商，也可以幫助國防部。例如，自動化平臺可以作為一支"網路空間作戰部隊"，在動能或網路空間專用演習中，針對國防部網路任務部隊的要素部署對手模擬，以測試團隊效能。

如果沒有持續的、自動化的測試，國防部及其承包商仍將容易受到網路攻擊，他們的安全計劃會因為配置不當或團隊表現而悄然失敗。透過自動化平臺，他們可以將人員、流程和安全技術集中在最重要的威脅上，從而改善安全態勢。