隨著當(dāng)前網(wǎng)絡(luò)安全威脅的不斷擴(kuò)展與升級(jí)，開展?jié)B透測(cè)試工作已經(jīng)成為廣大企業(yè)組織主動(dòng)識(shí)別安全漏洞與潛在風(fēng)險(xiǎn)的關(guān)鍵過(guò)程。然而，傳統(tǒng)的人工滲透測(cè)試模式對(duì)測(cè)試人員的專業(yè)能力和經(jīng)驗(yàn)水平有很高的要求，企業(yè)需要投入較大的時(shí)間和資源才能完成。在此背景下，自動(dòng)化滲透測(cè)試已成為滲透測(cè)試領(lǐng)域的重點(diǎn)研究?jī)?nèi)容，并被認(rèn)為是人工滲透測(cè)試的一種演進(jìn)形式。

自動(dòng)化 or 人工？

傳統(tǒng)的滲透測(cè)試過(guò)程依賴專業(yè)人員的背景知識(shí)，存在人力和時(shí)間開銷大等問(wèn)題，而自動(dòng)化滲透測(cè)試在一定程度上克服了傳統(tǒng)滲透測(cè)試的弊端。自動(dòng)化滲透測(cè)試在整體流程上和傳統(tǒng)滲透測(cè)試相似，但是能夠自動(dòng)分析目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)環(huán)境，發(fā)現(xiàn)并驗(yàn)證目標(biāo)系統(tǒng)潛在的漏洞點(diǎn)和脆弱性，極大地降低了人工參與的程度。下表將傳統(tǒng)人工滲透測(cè)試和自動(dòng)化滲透測(cè)試進(jìn)行了簡(jiǎn)單對(duì)比：

圖片

從上表的對(duì)比可以看出，自動(dòng)化滲透測(cè)試的應(yīng)用優(yōu)勢(shì)主要體現(xiàn)在以下幾點(diǎn)：

? 低成本且高效。自動(dòng)化滲透測(cè)試平臺(tái)可以涵蓋客戶端網(wǎng)絡(luò)，并在幾乎沒(méi)有人工參與的情況下全天候執(zhí)行掃描、探測(cè)和分析；同時(shí)，還可以根據(jù)要解決的問(wèn)題的嚴(yán)重程度應(yīng)用自動(dòng)化來(lái)組織報(bào)告；此外，與手動(dòng)滲透測(cè)試相比，自動(dòng)化滲透測(cè)試?yán)碚撋峡梢栽诟痰臅r(shí)間內(nèi)完成。

? 合規(guī)性。自動(dòng)化滲透測(cè)試以來(lái)工具執(zhí)行，因此在運(yùn)行掃描和分析結(jié)果時(shí)，會(huì)嚴(yán)格依照提前設(shè)置好的流程和程序。自動(dòng)化滲透測(cè)試的結(jié)果是高度可重復(fù)的，每次測(cè)試結(jié)果之間的差異很小。從監(jiān)管和合規(guī)的角度來(lái)看，這種特質(zhì)是非常寶貴的。

? 節(jié)省時(shí)間和人力資源。由于不需要高薪的安全專業(yè)人員來(lái)執(zhí)行工具并執(zhí)行對(duì)結(jié)果的高級(jí)分析，因此在很大程度上節(jié)省了成本。雖然自動(dòng)化滲透測(cè)試服務(wù)并不便宜，但當(dāng)考慮到自動(dòng)化測(cè)試平臺(tái)節(jié)省的時(shí)間，它們通常比人工替代方案更有性價(jià)比。

不過(guò)需要指出的是，目前自動(dòng)化滲透測(cè)試技術(shù)還存在很多局限性。對(duì)于計(jì)算機(jī)系統(tǒng)來(lái)說(shuō)，模仿人類大腦執(zhí)行高度復(fù)雜且通常需要高度想象力的任務(wù)時(shí)，其實(shí)際能力表現(xiàn)是相當(dāng)具有挑戰(zhàn)性的。特別是涉及到新方法、新途徑或開箱即用的新需求時(shí)，自動(dòng)化滲透測(cè)試還難以替代人工滲透測(cè)試。

自動(dòng)化滲透測(cè)試的流程

自動(dòng)化滲透測(cè)試是一種幫助安全團(tuán)隊(duì)確定網(wǎng)絡(luò)或應(yīng)用程序安全性的創(chuàng)新選擇，在測(cè)試過(guò)程中，測(cè)試人員需要使用自動(dòng)化滲透測(cè)試工具檢查目標(biāo)環(huán)境網(wǎng)絡(luò)系統(tǒng)中的目標(biāo)設(shè)備和端口。以下是其自動(dòng)化滲透測(cè)試的常見(jiàn)運(yùn)行過(guò)程：

01計(jì)劃準(zhǔn)備

計(jì)劃準(zhǔn)備包括確定想要測(cè)試的系統(tǒng)和執(zhí)行測(cè)試的方法，其目標(biāo)是識(shí)別網(wǎng)絡(luò)中的缺陷。為了更好地進(jìn)行漏洞診斷，企業(yè)應(yīng)該提前定義好預(yù)期測(cè)試的范圍和目標(biāo)，并從網(wǎng)絡(luò)、域名以及郵件服務(wù)器中收集必要的診斷情報(bào)，這些情報(bào)是發(fā)現(xiàn)系統(tǒng)中的潛在漏洞所必需的。

02掃描和偵察階段

在這個(gè)階段，測(cè)試人員需要全面了解網(wǎng)絡(luò)應(yīng)用程序?qū)⑷绾雾憫?yīng)各種入侵嘗試。此時(shí)可以使用靜態(tài)代碼分析或動(dòng)態(tài)代碼分析工具對(duì)網(wǎng)絡(luò)應(yīng)用程序進(jìn)行檢查，這將有助于評(píng)估測(cè)試開始運(yùn)行后，網(wǎng)絡(luò)應(yīng)用系統(tǒng)的行為反應(yīng)，實(shí)時(shí)了解網(wǎng)絡(luò)的運(yùn)行情況。

03目標(biāo)捕獲階段

在完成了掃描和偵察流程后，下一步就是進(jìn)入目標(biāo)捕獲。此階段需要利用多種技術(shù)（例如跨站點(diǎn)腳本和后門技術(shù)）來(lái)發(fā)現(xiàn)潛在的安全漏洞。滲透測(cè)試人員可以通過(guò)升級(jí)特權(quán)、竊取數(shù)據(jù)和攔截流量來(lái)利用檢測(cè)到的漏洞，了解這種漏洞利用可能造成的損害程度。

04評(píng)估和維護(hù)控制階段

評(píng)估和維護(hù)控制階段的目標(biāo)是查看是否可以使用漏洞在系統(tǒng)中建立持久性。在這種情況下，企業(yè)需要模擬惡意攻擊，以便攻破并維護(hù)對(duì)應(yīng)用系統(tǒng)的安全訪問(wèn)。這些類型的攻擊可以模仿APT攻擊方式，在攻擊開始前就潛伏到組織的網(wǎng)絡(luò)系統(tǒng)中。

05取證分析及報(bào)告階段

在成功完成初始測(cè)試階段后，需要制定詳細(xì)的測(cè)試報(bào)告，說(shuō)明測(cè)試的不同階段。這包括滲透測(cè)試成功的方式、地點(diǎn)、時(shí)間以及可能的原因。報(bào)告通常需要涵蓋以下內(nèi)容：

? 被利用的特定漏洞。

? 您接觸到的敏感數(shù)據(jù)。

? 您在系統(tǒng)中成功潛伏的時(shí)間。

自動(dòng)化滲透測(cè)試應(yīng)用實(shí)踐

在實(shí)際應(yīng)用中，有多種不同的方法來(lái)開展和實(shí)施自動(dòng)化滲透測(cè)試，這會(huì)因組織類型、規(guī)模、業(yè)務(wù)范圍和相關(guān)的網(wǎng)絡(luò)安全要求而異。為了最大限度地利用自動(dòng)化滲透測(cè)試，組織可以參考借鑒以下最佳實(shí)踐：

1.將滲透測(cè)試集中在特定的網(wǎng)段上

在現(xiàn)實(shí)世界的網(wǎng)絡(luò)犯罪中，最有效的攻擊往往是那些針對(duì)目標(biāo)使用高度針對(duì)性的攻擊。同樣的邏輯也適用于滲透測(cè)試。自動(dòng)化滲透測(cè)試允許分段執(zhí)行，您可以將單個(gè)測(cè)試集中在系統(tǒng)的特定部分，而非一次執(zhí)行全部測(cè)試。這可以讓您更深入地了解如何預(yù)防最危險(xiǎn)的攻擊類型。有針對(duì)性的自動(dòng)化滲透測(cè)試可以企業(yè)應(yīng)對(duì)那些更高級(jí)、更持久的威脅。

2.定期運(yùn)行外部、內(nèi)部和混合測(cè)試

自動(dòng)化滲透測(cè)試的另一個(gè)好處是能夠定期運(yùn)行滲透測(cè)試。這就允許執(zhí)行一個(gè)包含各種測(cè)試的測(cè)試體系。通過(guò)使用自動(dòng)化滲透測(cè)試工具，企業(yè)可以頻繁、定期地運(yùn)行各種測(cè)試：

? 外部滲透測(cè)試——這些測(cè)試關(guān)注外部未知的攻擊者，以及他們利用外圍防御漏洞的嘗試。它們通常在測(cè)試人員完成破壞后得出結(jié)論，并將結(jié)果反饋給防火墻等邊界安全設(shè)備；

? 內(nèi)部滲透測(cè)試——這些測(cè)試關(guān)注來(lái)自內(nèi)部威脅的攻擊，測(cè)試的結(jié)果更加多樣化，揭示了各種可見(jiàn)性、訪問(wèn)控制基礎(chǔ)設(shè)施等方面的變化。

? 混合滲透測(cè)試——這些測(cè)試結(jié)合了以上兩種測(cè)試的元素，通常從外部開始，然后在內(nèi)部繼續(xù)。測(cè)試結(jié)果將為實(shí)施大規(guī)模的網(wǎng)絡(luò)防御變革提供依據(jù)。

這些測(cè)試產(chǎn)生了不同的見(jiàn)解。雖然混合測(cè)試似乎是任何時(shí)候都能運(yùn)行的最佳測(cè)試，但情況并非總是如此。如上所述，專注于系統(tǒng)中特定功能的測(cè)試非常有用。這同樣適用于特定類型的測(cè)試。

3.充分利用滲透測(cè)試的結(jié)果

利用滲透測(cè)試的結(jié)果是整個(gè)測(cè)試過(guò)程的一個(gè)關(guān)鍵部分，測(cè)試人員會(huì)與組織內(nèi)的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)合作，以對(duì)結(jié)果進(jìn)行分析和反饋。例如，CISO可能會(huì)與滲透測(cè)試團(tuán)隊(duì)合作，制定相應(yīng)的控制機(jī)制，以防止實(shí)際攻擊者利用特定的攻擊向量。

另一種有效利用滲透測(cè)試的方式是對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)來(lái)。組織可以利用自動(dòng)化滲透測(cè)試的洞察力來(lái)設(shè)計(jì)培訓(xùn)模塊，例如桌面事件響應(yīng)練習(xí)。這些模擬練習(xí)的規(guī)模較小，比全面的滲透測(cè)試更快速。實(shí)際上，它們可以進(jìn)行多次重復(fù)，而且資源成本較低，非常適合定期進(jìn)行安全培訓(xùn)。此外，自動(dòng)化滲透測(cè)試工具生成的情報(bào)越多，這些培訓(xùn)會(huì)話就越精確和有效。

4.提升企業(yè)的風(fēng)險(xiǎn)管理合規(guī)能力

自動(dòng)化滲透測(cè)試可以成為企業(yè)合規(guī)管理程序的重要組成部分。如果企業(yè)組織處于受監(jiān)管的行業(yè)或地點(diǎn)，或者處理受保護(hù)的數(shù)據(jù)，就可能會(huì)被要求進(jìn)行滲透測(cè)試。在這種情況下，建議企業(yè)優(yōu)先選擇自動(dòng)化滲透測(cè)試，并將其整合到組織整體的風(fēng)險(xiǎn)管理戰(zhàn)略中。

自動(dòng)化滲透測(cè)試工具選型

在諸多市場(chǎng)因素的共同驅(qū)動(dòng)下，自動(dòng)化滲透測(cè)試技術(shù)的應(yīng)用正在迅速興起，而行業(yè)中目前也不乏相關(guān)的服務(wù)提供商。企業(yè)可以參考以下選型因素，來(lái)選擇合適的自動(dòng)化滲透測(cè)試工具/方案：

? 考慮預(yù)算和成本。列出自動(dòng)化滲透測(cè)試軟件工具的清單，并根據(jù)企業(yè)的需求獲取報(bào)價(jià)，比較自動(dòng)化滲透測(cè)試工具的成本和特性。

? 考慮自動(dòng)化滲透測(cè)試工具的使用特性和組織應(yīng)用需求。考慮自動(dòng)化滲透測(cè)試軟件工具的特性和組織的滲透測(cè)試需求，確?？捎玫墓δ芸梢愿鶕?jù)組織的需求進(jìn)行定制。

? 確保工具能夠進(jìn)行合規(guī)性測(cè)試。檢查自動(dòng)化滲透測(cè)試工具是否提供滿足合規(guī)性的滲透掃描，并確保其提供專門的合規(guī)性報(bào)告和評(píng)價(jià)表。

? 客戶服務(wù)支持。檢查工具是否提供24*7的安全支持能力，合格的服務(wù)支持人員可以幫助企業(yè)消除對(duì)發(fā)現(xiàn)的漏洞疑慮。

? 提供詳細(xì)的測(cè)試報(bào)告。詳細(xì)的測(cè)試報(bào)告包括漏洞利用方法的列表，以及對(duì)漏洞風(fēng)險(xiǎn)危害性的評(píng)價(jià)，以便于對(duì)每個(gè)漏洞進(jìn)行優(yōu)先級(jí)排序并確定最終補(bǔ)救措施。

? 可定期掃描和滲透測(cè)試能力。確保自動(dòng)化滲透測(cè)試工具提供定期的漏洞掃描能力和可擴(kuò)展的滲透測(cè)試服務(wù)選項(xiàng)。這個(gè)因素至關(guān)重要，因?yàn)槎ㄆ诘淖詣?dòng)化滲透測(cè)試對(duì)于一個(gè)健康的安全系統(tǒng)是必不可少的。

5款熱門自動(dòng)化滲透測(cè)試工具

很多企業(yè)開始借助自動(dòng)化滲透測(cè)試工具來(lái)緩解傳統(tǒng)滲透測(cè)試的弊端，這些工具能夠自動(dòng)分析目標(biāo)系統(tǒng)所在網(wǎng)絡(luò)環(huán)境，將安全團(tuán)隊(duì)從復(fù)雜的測(cè)試流程中解放出來(lái)，降低了企業(yè)開展?jié)B透測(cè)試的成本。以下收集整理了當(dāng)前市場(chǎng)上應(yīng)用熱度較高的5款自動(dòng)化滲透測(cè)試工具（服務(wù)），并對(duì)其主要應(yīng)用特點(diǎn)進(jìn)行了分析。

01SQLmap

圖片

SQLmap是一個(gè)免費(fèi)的滲透測(cè)試工具，它能夠自動(dòng)化查找與SQL注入相關(guān)的威脅和攻擊的過(guò)程。相比其他的web應(yīng)用程序滲透測(cè)試工具，SQLmap具有較強(qiáng)大的測(cè)試引擎和多種注入攻擊識(shí)別能力，并支持多種數(shù)據(jù)庫(kù)服務(wù)器，如MySQL、Microsoft Access、IBM DB2和SQLite。

主要特點(diǎn)

? 掃描器能力：Web應(yīng)用程序；

? 手動(dòng)測(cè)試：不支持；

? 準(zhǔn)確性：可能出現(xiàn)誤報(bào)；

? 漏洞管理：不支持；

? 開源滲透測(cè)試工具。

? 使用自動(dòng)化方法查找各種類型的SQL注入。

? 沒(méi)有GUI。

02OpenVAS

圖片

OpenVAS是一個(gè)較全面的開源滲透測(cè)試軟件。在世界各地的滲透測(cè)試專家的幫助下，它得到了不斷的支持和更新，從而使其保持最新狀態(tài)。OpenVAS的其他特性還包括提供未經(jīng)身份驗(yàn)證的測(cè)試、目標(biāo)掃描和web漏洞掃描。

主要特點(diǎn)

? 掃描器能力：web應(yīng)用程序，網(wǎng)絡(luò)協(xié)議；

? 免費(fèi)。

? 高效、快速自動(dòng)化。

? 定期更新。

? 可能會(huì)忽略一些基本的漏洞。

? 存在一定的誤報(bào)

03Wireshark

圖片

WireShark是一個(gè)業(yè)界知名的開源自動(dòng)化滲透測(cè)試工具，主要用于協(xié)議分析和網(wǎng)絡(luò)活動(dòng)的微觀監(jiān)控。它可以捕獲和分析網(wǎng)絡(luò)流量，檢查協(xié)議，解決網(wǎng)絡(luò)性能問(wèn)題。

主要特點(diǎn)

? 需要像Qt、GLib和libpcap這樣的庫(kù)支持；

? 可以從網(wǎng)絡(luò)接口捕獲實(shí)時(shí)數(shù)據(jù)包數(shù)據(jù)；

? 準(zhǔn)確性較高；

? 不支持漏洞管理；

? 提供與合規(guī)性間接相關(guān)的報(bào)告；

? 免費(fèi)，易于安裝。

? 對(duì)于初學(xué)者來(lái)說(shuō)很難駕馭。

? 用戶界面有待改善。

04Nmap

圖片

Nmap是一個(gè)開源的自動(dòng)滲透測(cè)試和漏洞掃描工具，允許安全管理員創(chuàng)建連接到網(wǎng)絡(luò)的所有設(shè)備、操作系統(tǒng)和應(yīng)用程序的目錄，從而更輕松地檢測(cè)潛在漏洞。

主要特點(diǎn)

? 能夠掃描每個(gè)網(wǎng)絡(luò)協(xié)議的1000個(gè)最流行的端口；

? 主動(dòng)使用NMap進(jìn)行網(wǎng)絡(luò)映射和端口掃描，這些都是手工測(cè)試工作的一部分。

? 偶爾會(huì)出現(xiàn)誤報(bào)和錯(cuò)誤的見(jiàn)解；

? 不支持漏洞管理

? 可顯示打開的端口、運(yùn)行的服務(wù)和其他網(wǎng)絡(luò)關(guān)鍵因素。

? 對(duì)小型網(wǎng)絡(luò)同樣適用。

? 用戶界面有待改進(jìn)。

05Metasploit

圖片

Metasploit是安全專業(yè)人員經(jīng)常使用的系統(tǒng)漏洞檢測(cè)框架。它是一個(gè)強(qiáng)大的工具，也包含了模糊、反取證和逃避工具等部分。Metasploit目前包含了近500個(gè)有效載荷檢測(cè)用例，包括命令shell有效載荷、動(dòng)態(tài)有效載荷、Meterpreter有效載荷和靜態(tài)有效載荷。

主要特點(diǎn)

? 功能全面，包含一系列可用于滲透測(cè)試的工具；

? 不支持漏洞管理：不支持；

? 提供與合規(guī)性間接相關(guān)的報(bào)告；

? 這是一個(gè)強(qiáng)大的框架。

? 有陡峭的學(xué)習(xí)曲線。

? 適用于有一定專業(yè)能力的安全團(tuán)隊(duì)。

參考鏈接：

https://www.makeuseof.com/what-is-automated-penetration-testing/

https://www.getastra.com/blog/security-audit/automated-penetration-testing/

https://www.techtarget.com/searchsecurity/tip/Introduction-to-automated-penetration-testing

https://blog.rsisecurity.com/automated-penetration-testing-best-practices-for-2024/

https://www.getastra.com/blog/security-audit/automated-penetration-testing-software/