自動化滲透測試在改進(jìn)滲透測試過程和減少所需資源方面發(fā)揮著舉足輕重的作用，但如果沒有適當(dāng)?shù)姆椒?，則可能完全是浪費(fèi)時間。本文中專家Kevin Beaver探討了這個話題。

快要被滲透測試壓垮?很多人都是這樣。面對PCI DSS、業(yè)務(wù)合作伙伴和客戶需求或者類似責(zé)任，對滲透測試的需求的浪潮永無止境。鑒于系統(tǒng)和應(yīng)用的數(shù)量以及網(wǎng)絡(luò)環(huán)境的復(fù)雜程度，滲透測試可以是非常艱巨的任務(wù)，這導(dǎo)致很多信息安全專業(yè)人員都只是“走走過場”來滿足合規(guī)要求或者想辦法完全跳過這些測試。但是這樣做的代價(jià)是什么?正如生活中的所有事物一樣，半心半意的方法來執(zhí)行滲透測試只會得到半心半意的結(jié)果，合規(guī)麻煩、信息風(fēng)險(xiǎn)和不可避免的數(shù)據(jù)泄露事故都會隨之而來。

[[123022]]

但是，這些肩負(fù)這種基本業(yè)務(wù)工作的人員可以采取很多其他信息安全管理任務(wù)的方法以及自動化來完成這些工作。例如，這些年以來，信息安全專業(yè)人員已經(jīng)能夠自動化諸如日志管理、補(bǔ)丁修復(fù)和源代碼分析等工作。并且，通過添加一些自動化到滲透測試，我們可以最大限度地降低所需資源，同時保持滲透測試過程的完整性。另外，重要的是，采取衡量的方法。

采取衡量的方法來實(shí)現(xiàn)自動化

首先，通過確定你想要完成的目標(biāo)來定義什么是“滲透測試”。有些人認(rèn)為滲透測試是運(yùn)行簡單的漏洞掃描來安撫審計(jì)員。其他人則是證明他們可以找到一個漏洞來利用。筆者更喜歡更廣泛的漏洞評估定義，任何有IP地址或者URL的事物都可能受到攻擊。

從最關(guān)鍵的系統(tǒng)開始，最后專業(yè)人員需要考慮網(wǎng)絡(luò)，因?yàn)橥獠亢诳秃蛺阂鈫T工都知道網(wǎng)絡(luò)沒有界限。隨后，測試你系統(tǒng)的各個方面來確定易受攻擊的部分，無論你怎么命名這些部分。否則，這個安全計(jì)劃注定會失敗。

在“自動化”滲透測試中，這種方法尤其重要。為什么呢?因?yàn)槟悴荒苁褂矛F(xiàn)有工具自動化每個系統(tǒng)和應(yīng)用的每個測試。例如，尋找網(wǎng)絡(luò)主機(jī)中低強(qiáng)度密碼的大多數(shù)函數(shù)都可以自動化，但登錄提示來瀏覽網(wǎng)絡(luò)、操作文件等相關(guān)程序無法自動化。這些類型的測試通常被稱為身份驗(yàn)證漏洞掃描，這些測試可以通過編寫腳本來進(jìn)行，但并不是真正的自動化。

發(fā)現(xiàn)和利用Web應(yīng)用登錄機(jī)制、用戶會話管理和SQL注入中的漏洞同樣是如此。同樣地，單個函數(shù)(例如發(fā)現(xiàn)SQL注入和從數(shù)據(jù)庫提取數(shù)據(jù))也可以實(shí)現(xiàn)自動化，但整個過程不能被自動化。這個過程需要人類互動和專業(yè)知識來知道在哪里定位漏洞利用以及如何獲得最好的結(jié)果。

工具只是輔助

人們對自動化的渴望讓流行的漏洞掃描儀中添加了很多新功能，例如Acunetix Web漏洞掃描儀(該工具善于破解Web應(yīng)用中的密碼)以及Metasploit Pro(可用于獲取命令提示符以及建立后門程序)。

但即使這些工具也不能完全自動化這個過程。例如，通過Metasploit Pro，IT必須首先運(yùn)行漏洞掃描儀(例如Nexpose或Nessus)來發(fā)現(xiàn)漏洞。Metasploit Pro和商業(yè)漏洞掃描工具的用戶界面和很簡單，但并不是每個滲透測試工具都簡單，對于缺乏技術(shù)知識的人來說，這是一個問題。

現(xiàn)在的滲透測試的最大好處是，市面上有豐富的安全測試工具可以讓滲透測試人員在幾分鐘內(nèi)破解未加密筆記本或無線網(wǎng)絡(luò)的密碼，或者簡單地發(fā)起調(diào)子郵件釣魚活動。網(wǎng)絡(luò)共享和訪問不安全PII可以非常迅速實(shí)現(xiàn)。但這些并不能完全自動化。就像放射科人員和房屋檢查人員，滲透測試人員可以采用先進(jìn)的工具，但發(fā)現(xiàn)、枚舉和報(bào)告結(jié)果不能完全自動化，并且，筆者認(rèn)為未來可能仍然會這樣。

深度安全審查需要的不僅僅是輸入IP地址或者URL再單擊確定。當(dāng)然，程序和工作流程可以變得更有效，但創(chuàng)造力和過往實(shí)戰(zhàn)經(jīng)驗(yàn)將決定最終的勝負(fù)。最后，無論滲透測試發(fā)現(xiàn)了多少“漏洞利用”，IT專業(yè)人員仍然需要確定哪些是真正的安全風(fēng)險(xiǎn)以及哪些不是。