滲透測(cè)試可以讓企業(yè)了解現(xiàn)有安全措施的成效或不足，進(jìn)而幫助其調(diào)整安全項(xiàng)目，并主動(dòng)發(fā)現(xiàn)漏洞。雖然大多數(shù)企業(yè)熟悉并進(jìn)行手動(dòng)滲透測(cè)試，但近年來(lái)自動(dòng)滲透測(cè)試成為一種備受關(guān)注的選擇。自動(dòng)滲透測(cè)試與手動(dòng)滲透測(cè)試孰優(yōu)孰劣?不妨比較一下各自的優(yōu)缺點(diǎn)。

手動(dòng)滲透測(cè)試的優(yōu)缺點(diǎn)

手動(dòng)滲透測(cè)試的最大優(yōu)點(diǎn)是靈活，它更有可能發(fā)現(xiàn)和應(yīng)對(duì)測(cè)試系統(tǒng)中的漏洞。手動(dòng)滲透測(cè)試可以發(fā)現(xiàn)自動(dòng)測(cè)試可能未發(fā)現(xiàn)的更狡猾漏洞和攻擊，比如盲SQL注入攻擊、邏輯缺陷和訪問(wèn)控制漏洞。訓(xùn)練有素的專業(yè)人員可以在手動(dòng)滲透測(cè)試中分析應(yīng)用程序?qū)Υ祟惞舻捻憫?yīng)，可以捕捉到自動(dòng)測(cè)試軟件認(rèn)為沒(méi)問(wèn)題，但實(shí)際上有問(wèn)題的響應(yīng)。

手動(dòng)滲透測(cè)試的另一個(gè)優(yōu)點(diǎn)是專家隨時(shí)審查報(bào)告。雖然自動(dòng)滲透測(cè)試工具也會(huì)生成報(bào)告，但安全分析員仍然要審查和修復(fù)發(fā)現(xiàn)的許多問(wèn)題。手動(dòng)滲透測(cè)試還可以在尋找漏洞時(shí)更靈活。Enterprise Strategy Group分析師Jon Oltsik說(shuō)：“優(yōu)秀的滲透測(cè)試人員會(huì)運(yùn)用直覺(jué)，并根據(jù)結(jié)果，選擇朝出人意料的方向進(jìn)行測(cè)試。”一些滲透測(cè)試也只能手動(dòng)執(zhí)行。例如，當(dāng)企業(yè)想要分析防范社會(huì)工程攻擊的情況，就需要手動(dòng)滲透測(cè)試，測(cè)試有無(wú)語(yǔ)音釣魚攻擊時(shí)更是如此。

手動(dòng)滲透測(cè)試的最大缺點(diǎn)是成本和時(shí)間。滲透測(cè)試付出的成本和時(shí)間以其徹底程度而定，有時(shí)可能需要數(shù)周時(shí)間才能獲得結(jié)果，這并不總是盡如人意，在處理嚴(yán)重漏洞時(shí)更是如此。手動(dòng)滲透測(cè)試也可能很燒錢，這就是為什么許多企業(yè)執(zhí)行這種測(cè)試只是為了滿足合規(guī)和監(jiān)管要求。如果企業(yè)沒(méi)錢設(shè)立內(nèi)部紅隊(duì)或滲透測(cè)試團(tuán)隊(duì)，會(huì)選擇第三方服務(wù)提供商用于滿足測(cè)試需求，這是另一項(xiàng)成本。

自動(dòng)滲透測(cè)試的優(yōu)缺點(diǎn)

手動(dòng)滲透測(cè)試既復(fù)雜又燒錢，因此許多企業(yè)不常進(jìn)行測(cè)試。自動(dòng)測(cè)試成本較低、更容易進(jìn)行，可能會(huì)改變這種局面。Gartner分析師Mitchell Schneider說(shuō)：“組織有興趣進(jìn)行更頻繁的測(cè)試。我們從自動(dòng)滲透測(cè)試工具中看到的好處之一是，它使這類測(cè)試更頻繁了。企業(yè)希望及時(shí)消除相關(guān)的風(fēng)險(xiǎn)和威脅，而不是等待安排測(cè)試。”

自動(dòng)滲透測(cè)試的另一個(gè)好處是，它為安全分析師節(jié)省了時(shí)間，使他們可以專注于測(cè)試期間可能被耽擱的其他任務(wù)。自動(dòng)化還可以處理重復(fù)性任務(wù)，這些任務(wù)不一定復(fù)雜，但手動(dòng)處理起來(lái)很耗時(shí)。頻繁的自動(dòng)滲透測(cè)試還可以幫助企業(yè)評(píng)估全部計(jì)算機(jī)系統(tǒng)——這些系統(tǒng)的更新比測(cè)試來(lái)得更頻繁，比如在快速發(fā)布周期期間內(nèi)。Forrester Research分析師Jeff Pollard說(shuō)：“需要自動(dòng)測(cè)試才能真實(shí)了解環(huán)境?！?/p>

自動(dòng)滲透測(cè)試的一個(gè)潛在缺點(diǎn)是分析師仍將其視為新興市場(chǎng)。Oltsik說(shuō)：“獨(dú)立的自動(dòng)測(cè)試工具在過(guò)去幾年不斷改進(jìn)。隨著風(fēng)險(xiǎn)資金繼續(xù)投入，這個(gè)創(chuàng)新市場(chǎng)在不斷壯大。”它的另一個(gè)缺點(diǎn)是測(cè)試結(jié)果取決于滲透測(cè)試工具本身的好壞以及用戶的知識(shí)水平。Oltsik說(shuō)：“人是自動(dòng)測(cè)試的累贅。軟件效果完全取決于人的知識(shí)庫(kù)。針對(duì)漏洞，用戶一定要會(huì)某些策略和技術(shù)?！比绻麧B透測(cè)試軟件開(kāi)發(fā)人員沒(méi)有盡到本職工作，自動(dòng)滲透測(cè)試就有缺陷，可能會(huì)錯(cuò)漏關(guān)鍵問(wèn)題。

一些人還擔(dān)心自動(dòng)工具可能取代滲透測(cè)試人員，但Oltsik表示情況未必如此。他說(shuō)：“自動(dòng)測(cè)試有可能變得很出色，也許只需要監(jiān)督員和審計(jì)員來(lái)管理自動(dòng)化測(cè)試就可以完成相關(guān)工作，但這種局面不會(huì)很快出現(xiàn)。”此外，自動(dòng)滲透測(cè)試在功能上依然有限，無(wú)法面向各種測(cè)試場(chǎng)景進(jìn)行部署。大多數(shù)工具不支持面向無(wú)線網(wǎng)絡(luò)、Web應(yīng)用程序和社會(huì)工程攻擊進(jìn)行滲透測(cè)試。

手動(dòng)自動(dòng)相結(jié)合使用

在實(shí)際工作中，企業(yè)在選擇滲透測(cè)試方式時(shí)，往往不是二選一的問(wèn)題。相反，自動(dòng)滲透測(cè)試工具應(yīng)該輔助手動(dòng)滲透測(cè)試工作。Schneide表示，自動(dòng)滲透測(cè)試工具并不完全適用于所有類型的滲透測(cè)試。至少在接下來(lái)幾年，它們不會(huì)完全取代滲透測(cè)試人員或紅隊(duì)。自動(dòng)化還帶來(lái)了滲透測(cè)試即服務(wù)(PTaaS)的發(fā)展潮流。NetSPI、Cobalt和Pentest People等供應(yīng)商已經(jīng)提供一些服務(wù)。PTaaS產(chǎn)品結(jié)合了手動(dòng)滲透測(cè)試和自動(dòng)滲透測(cè)試，通過(guò)兩者的結(jié)合使用，企業(yè)更容易完成特定的滲透測(cè)試工作，例如滿足合規(guī)或監(jiān)管要求等。

參考鏈接：

https://www.techtarget.com/searchsecurity/feature/Pros-and-cons-of-manual-vs-automated-penetration-testing