自動(dòng)化滲透測(cè)試可替代人類?你想多了
責(zé)編:gltian |2021-01-11 14:17:28自動(dòng)化滲透測(cè)試工具歷經(jīng)多年發(fā)展,但真的先進(jìn)到了不再需要滲透測(cè)試人員的程度?
過去幾年,網(wǎng)絡(luò)安全自動(dòng)化大幅增長,但滲透測(cè)試依然免疫,還是依賴滲透測(cè)試員人工操作。盡管眾包安全在過去10年間已成長為滲透測(cè)試的替代選擇,卻并非基于自動(dòng)化,不過是在一個(gè)問題上投入更多人力而已(而且過程中還會(huì)引入其固有的缺陷)。不過,自動(dòng)化滲透測(cè)試工具最近已經(jīng)發(fā)展到了在特定條件下比較有效的程度。于是問題來了:這些工具能夠替代滲透測(cè)試人員嗎?
可以對(duì)自動(dòng)化滲透測(cè)試工具進(jìn)行大量對(duì)比試驗(yàn),看能否趕得上滲透測(cè)試員的效果和效率;但此類自動(dòng)化工具的發(fā)展堪稱現(xiàn)象級(jí),去年做的對(duì)照測(cè)試分析,今天再來看可能就過時(shí)了。所以,以下分析結(jié)果,還請(qǐng)各位讀者帶著發(fā)展的眼光看問題。
自動(dòng)化滲透測(cè)試工具的運(yùn)行機(jī)制
這些工具通過代理或虛擬機(jī)交付滲透測(cè)試,此類代理或虛擬機(jī)模擬滲透測(cè)試人員的筆記本電腦和/或接入客戶網(wǎng)絡(luò)的攻擊代理。滲透測(cè)試機(jī)器人程序會(huì)偵察其所在環(huán)境,執(zhí)行測(cè)試人員都會(huì)做的類似掃描:用喜歡的工具執(zhí)行漏洞掃描,或者就用Nmap或Masscan掃一遍端口和服務(wù)。確定自身在環(huán)境中所處位置之后,自動(dòng)化工具會(huì)篩選所獲信息。從這一步開始,就不再雷同漏洞掃描器了。
漏洞掃描器只是簡(jiǎn)單羅列找到的漏洞和潛在漏洞,并沒有關(guān)于漏洞可利用程度的上下文。它們不過是照搬通用漏洞與暴露(CVE)參考和通用漏洞評(píng)分系統(tǒng)(CVSS)得分而已。有時(shí)候漏洞掃描器會(huì)貼出系統(tǒng)易受攻擊的“證據(jù)”,但處理不好誤報(bào)問題。自動(dòng)化滲透測(cè)試工具則會(huì)從這些目標(biāo)中選擇要接管的“最佳”系統(tǒng),基于漏洞利用難易度、噪音及此類因素做出決策。舉個(gè)例子,如果滲透測(cè)試機(jī)器人程序發(fā)現(xiàn)某Windows機(jī)器易受永恒之藍(lán)攻擊,它可能會(huì)選擇暴力破解要驗(yàn)證密碼的開放SSH端口,因?yàn)檫@是廣為人知的漏洞利用,利用起來還又快又簡(jiǎn)單。
一旦獲得立足點(diǎn),滲透測(cè)試工具就會(huì)通過網(wǎng)絡(luò)擴(kuò)散,仿照滲透測(cè)試人員或攻擊者的做法。不同之處在于,自動(dòng)化滲透測(cè)試工具會(huì)在被利用的機(jī)器上安裝自己的代理,以此為支點(diǎn)繼續(xù)向外輻射。工具會(huì)重新展開滲透過程,只不過,這一次會(huì)極其仔細(xì)地探查機(jī)器,收集更多信息,更有針對(duì)性地繼續(xù)在客戶網(wǎng)絡(luò)中的旅程。這一步驟中,滲透工具可能會(huì)轉(zhuǎn)儲(chǔ)密碼哈希,或者查找硬編碼的憑證,然后將之納入下一輪滲透的彈藥庫。雖然之前可能已經(jīng)重復(fù)過掃描/漏洞利用/跳轉(zhuǎn),這一次,自動(dòng)化滲透工具將嘗試“哈希傳遞”攻擊,或利用剛剛偷得的密鑰連接SSH端口。然后,再次跳轉(zhuǎn),繼續(xù)擴(kuò)散。
如果你注意到自動(dòng)化滲透測(cè)試工具的動(dòng)作與滲透測(cè)試人員的操作有很多共同點(diǎn),那就對(duì)了:滲透測(cè)試人員基本上就是這么干的(某種程度上,攻擊者也是這么干的)。工具集很雷同,用來跳轉(zhuǎn)的技術(shù)和方法在很多方面上也很類似。那么,有哪些地方不一樣呢?
自動(dòng)化滲透測(cè)試的優(yōu)勢(shì)
相對(duì)于有些年頭的滲透測(cè)試方法(和混亂的眾包方法),自動(dòng)化具備一些優(yōu)勢(shì)。
首先,測(cè)試和報(bào)告的速度大大加快,而且報(bào)告的可讀性令人驚艷。(經(jīng)多名合格安全評(píng)估師(QSA)驗(yàn)證,這些報(bào)告可以滿足各種PCI-DSS滲透測(cè)試要求。)無需等待滲透測(cè)試人員花費(fèi)數(shù)天或數(shù)周時(shí)間撰寫報(bào)告并經(jīng)過幾輪質(zhì)保檢查,即可到手清晰明了的滲透測(cè)試報(bào)告。
人工滲透測(cè)試目前的主要缺陷之一,就是持續(xù)交付意味著很多報(bào)告在交付之前就已經(jīng)過時(shí)了。測(cè)試之后,環(huán)境已歷經(jīng)多次更新,引入了滲透測(cè)試之時(shí)并不存在的新潛在漏洞和配置錯(cuò)誤。這就是傳統(tǒng)滲透測(cè)試不過是某個(gè)時(shí)刻的安全態(tài)勢(shì)快照的原因所在。
通過每天、每天兩次,甚或每次更改后執(zhí)行一次滲透測(cè)試,以及幾乎即時(shí)交付測(cè)試報(bào)告,自動(dòng)化滲透測(cè)試工具規(guī)避了這一遲滯局限。這意味著你可以日常滲透測(cè)試你的環(huán)境并檢測(cè)可能遭利用的配置更改,不用依賴數(shù)周以后才交付的報(bào)告。
自動(dòng)化的第二個(gè)優(yōu)勢(shì)在于入口點(diǎn)。你可能會(huì)給滲透測(cè)試人員一個(gè)特定入口點(diǎn)來進(jìn)入你的網(wǎng)絡(luò),但自動(dòng)化工具就能從多個(gè)不同入口點(diǎn)多次執(zhí)行同樣的滲透測(cè)試,發(fā)現(xiàn)各入口點(diǎn)的弱點(diǎn),檢查各種可能造成影響的場(chǎng)景。雖然理論上人工滲透測(cè)試也可以做到這種程度,但每次不同測(cè)試都需要投入一大筆預(yù)算開銷。
自動(dòng)化滲透測(cè)試的劣勢(shì)
自動(dòng)化滲透測(cè)試工具也存在弊端。首先,此類工具壓根兒不了解Web應(yīng)用。雖然可以在端口/服務(wù)級(jí)檢測(cè)到Web服務(wù)器,但自動(dòng)化滲透測(cè)試工具搞不懂是內(nèi)部API存在不安全直接對(duì)象引用(IDOR)漏洞,還是內(nèi)部網(wǎng)頁存在滲透測(cè)試人員可利用來進(jìn)一步跳轉(zhuǎn)的服務(wù)器端請(qǐng)求偽造(SSRF)漏洞。自動(dòng)化滲透測(cè)試工具之所以存在這種缺陷,是因?yàn)榻裉斓腤eb技術(shù)棧實(shí)在太過復(fù)雜,即使專業(yè)掃描器(例如Web應(yīng)用掃描器)都難以檢測(cè)不太好利用的漏洞(例如跨站腳本(XSS)或SQL注入(SQLi))。
由此又引出自動(dòng)化滲透測(cè)試工具的另一弱點(diǎn):你只能在網(wǎng)絡(luò)“內(nèi)部”使用這些工具。由于最為暴露的公司基礎(chǔ)設(shè)施就是基于Web的那些,而自動(dòng)化滲透測(cè)試工具又理解不了這些基礎(chǔ)設(shè)施,你就仍然需要依靠來自外部的優(yōu)秀滲透測(cè)試人員。
當(dāng)前情況
自動(dòng)化滲透測(cè)試技術(shù)前景廣闊,但仍處于早期階段。盡管暫時(shí)還無法替代滲透測(cè)試人員,卻也有助于應(yīng)對(duì)當(dāng)今不借助自動(dòng)化就無法解決的攻擊性安全挑戰(zhàn)。
來源:數(shù)世咨詢
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧