自動化滲透測試在安全專業(yè)人員的工具包中發(fā)揮著重要的作用。作為全面安全程序的一部分，這些工具可以快速評估系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用抵御各種威脅的安全性。但安全專業(yè)人員應(yīng)該將其視為傳統(tǒng)手動測試技術(shù)的一種補充，而不是替代。

什么是自動化滲透測試?

在滲透測試中，安全專業(yè)人士在系統(tǒng)和應(yīng)用中執(zhí)行蓄意攻擊，以確定是否可能獲得未經(jīng)授權(quán)的訪問權(quán)限。這些測試的目的是采用“攻擊者心態(tài)”，使用實際攻擊者利用的相同的工具和技術(shù)來探測安全漏洞。滲透測試被廣泛認為對系統(tǒng)安全性的最好檢驗，因為它最接近真實世界的攻擊。執(zhí)行這些測試通常需要技術(shù)嫻熟的人員花費大量時間來執(zhí)行，并且，在理想情況下，執(zhí)行這些測試的工程師需要達到或者超過潛在攻擊者的技能水平。

滲透測試的高度手動性質(zhì)和巨大代價導(dǎo)致很多企業(yè)選擇自動化部分過程。該測試仍然由熟練的專業(yè)人士指導(dǎo)，但很多步驟被自動化，以去除該測試的繁重的部分。例如，測試者可以使用漏洞掃描儀來測試大量系統(tǒng)中是否存在漏洞。同樣地，他們可以使用自動化漏洞利用工具來執(zhí)行多步驟攻擊。

為什么使用自動化測試?

使用這些工具為企業(yè)提供了幾個關(guān)鍵的好處。首先，當新漏洞出現(xiàn)時，使用頻繁掃描提高了檢測速度。其次，自動化工具可以廣泛測試大量系統(tǒng)中很多已知安全漏洞，而不需要繁瑣的手動測試過程。最后，自動化工具減輕了高技能人員繁瑣的工作，讓他們可以集中精力來協(xié)調(diào)測試以及運用其專業(yè)知識在最重要的地方。

自動化測試工具也可以是IT合規(guī)稽核的關(guān)鍵組成部分。例如，支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)要求對卡處理系統(tǒng)定期進行漏洞評估。自動化是滿足這一要求的唯一現(xiàn)實途徑。但是，需要注意的是，自動化并不是PCI合規(guī)的萬能辦法。該標準承認：“滲透測試通常是高度手動換的過程。雖然可以使用一些自動化工具，但測試人員需要運用他們對系統(tǒng)的知識來滲透到環(huán)境中。”

選擇你的工具集

滲透測試人員的工具包應(yīng)該包括廣泛的自動化工具，讓他或者她可以盡可能多的自動化其工作，以及在必要時使用手動來補充自動工具。這些工具應(yīng)該包括網(wǎng)絡(luò)漏洞管理套件，例如Nessus、Qualys或者Rapid7。這些工具可以在整個企業(yè)中執(zhí)行快速廣泛的掃描，以發(fā)現(xiàn)面向網(wǎng)絡(luò)的漏洞。此外，滲透測試者應(yīng)該使用Web滲透測試工具，例如Acunetix或者Weblnspect，這些工具可以檢測Web應(yīng)用中的常見安全漏洞，例如SQL注入或者跨站腳本漏洞。

最后，每個工具集應(yīng)該包括開源Metasploit框架。這個漏洞信息和漏洞利用攻擊集填補了自動化和手動測試之間的差距，讓測試人員可以探測網(wǎng)絡(luò)和Web評估工具檢測到的漏洞，以確定攻擊者是否能夠真正利用它們來獲取未經(jīng)授權(quán)訪問權(quán)限?；镜腗etasploit框架是免費的，有些商業(yè)供應(yīng)商基于該框架推出了圖形界面和其他工具。

自動化滲透測試技術(shù)可以給安全計劃帶來顯著的優(yōu)勢。這些工具提供對系統(tǒng)安全的快速全面的評估，這是對手動測試技術(shù)的很好的補充。