🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

自动化渗透测试,助力企业应对网络威胁 | 星科技•泛安全

联想之星 2023-10-20



前沿科技

泛安全




随着网络安全威胁的不断升级,仅仅站在防御者的角度检测网络攻击行为的传统网络防护手段已经稍显落后,目前,渗透测试已经成为现代企业组织主动识别安全漏洞与潜在风险的关键过程。近年来,自动渗透测试成为企业的新选项。


01

渗透测试成网安新方向


据“邮电设计技术”刊文,互联网面临的安全威胁与日俱增,高级可持续攻击的出现使得网络空间的安全问题更加严峻,网络安全防护显得更加重要。

渗透测试是一种安全测试和评估的方法,能够从攻击者角度,发现目标系统的安全漏洞以及钓鱼攻击等社会工程学操作的脆弱点。渗透测试所产出的结果都将以报告的形式输出,根据渗透测试报告,有针对性地对网络系统进行完善,提高系统的安全性。

“安全牛”认为,从攻击者的角度思考可以更快速了解企业在网络防御方面的不足。网络安全渗透测试工作的本质就是扮演攻击性黑客的角色,梳理企业的IT资产、寻找漏洞和攻击路径,以便更好地修复或应对风险。

从企业的角度来看,渗透测试的目标是验证现有的安全策略有效性,以识别可能造成潜在风险的不足。而对渗透测试人员来说,他们的目标是实际登录到被测试的系统和应用程序,并尝试数据窃取行动。真正的攻击者根本没有范围限制,并且可以通过多种方式攻击组织,例如直接攻击暴露在互联网上的业务系统和应用程序,或利用员工某些安全薄弱环节实现入侵。

在渗透测试服务的实施中,通常都需要包括以下关键步骤:侦察、攻击面枚举、漏洞检测、渗透攻击、撰写报告、修复和重新测试。

定期开展渗透测试对企业来说很宝贵,其作用不仅仅在于发现安全问题,对软件开发人员更深入了解系统实际运行情况也会大有帮助。
不过,当很多企业准备制定渗透测试计划时,他们对渗透测试服务的理解和需求,往往与真实服务现况存在着很多偏差和误区。
虽然大多数企业熟悉并进行手动渗透测试,但近年来自动渗透测试成为一种备受关注的选择。

02

智能化、自动化渗透测试


“邮电设计技术”指出,当前各种威胁网络安全事件频发,渗透测试越来越多地被组织和企业用于保障系统和服务的安全。根据渗透测试过程中人工参与程度的不同,可以将渗透测试分为传统渗透测试和自动化渗透测试。

1、传统渗透测试

传统的渗透测试技术,主要依赖测试人员借助渗透测试工具。测试人员需要根据自己的经验利用多种方法获取目标系统信息,探索并确定脆弱点,进行漏洞利用和后渗透测试,最后使用报告文档来描述渗透测试的整个流程、分析系统存在的风险点以及提供修复建议。

整个过程中对测试人员的经验水平有很强的依赖,对相关知识的掌握有很高的要求,同时渗透操作复杂繁琐,存在大量重复的操作,需要投入较大的时间和人力成本。

2、自动化渗透测试

自动化渗透测试在一定程度上克服了传统渗透测试的弊端。自动化渗透测试在整体流程上和传统渗透测试相似,不同点在于自动化渗透测试能够自动分析目标系统所在网络环境,发现并验证目标系统潜在的漏洞点和脆弱性

自动化渗透测试的出现,将安全专家从复杂重复的劳动中解放出来,降低了渗透测试的成本。

随着机器学习和深度学习技术的发展,人工智能技术已经应用于各个领域。智能化、自动化是渗透测试未来的方向。

不过,“安全牛”指出,在当下的实际工作中,企业在选择渗透测试方式时,往往不是二选一的问题。相反,自动渗透测试工具应该辅助手动渗透测试工作。

相关人士表示,目前,自动渗透测试工具并不完全适用于所有类型的渗透测试。至少在接下来几年,它们不会完全取代渗透测试人员或红队

自动化还带来了渗透测试即服务(PTaaS)的发展潮流,一些供应商已经提供一些服务。PTaaS产品结合了手动渗透测试和自动渗透测试,通过两者的结合使用,企业更容易完成特定的渗透测试工作,例如满足合规或监管要求等。

03

智能自动化攻击验证平台


随着企业网络资产规模的扩大和更频繁的变化,自动化渗透测试逐渐被人们所关注。那么,自动化渗透工具能解决什么问题?


1、资产和攻击面梳理:协助企业快速清点网络资产,识别暴露的攻击面。


2、系统上线前检查:在系统上线前发现可被利用的脆弱点,领先攻击者一步修复漏洞,降低被入侵的风险。


3、内网安全风险评估:侧重以内网IT资产为目标,通过横向移动、域渗透等攻击方式,对DMZ区、办公区等内网应用和服务存在的漏洞和高危风险进行全面评估。


4、专项风险检查:提供针对勒索病毒、第三方框架等专项测试场景,帮助企业全面评估网络和业务中是否存在某个专项风险问题,针对性修补,降低被入侵、数据泄露或者业务退服等风险。

5、为攻防演练中蓝队、红队双向赋能:对于蓝队,可以在攻防演练前利用自动化渗透工具进行全面的自查评估和整改,从而更好地应对攻击。对于红队,提供人机结合的安全检测能力,利用自动化渗透工具快速进行漏洞挖掘和利用,减轻红队人员工作量,提升工作效率。

企业可以将自动渗透和人工渗透相结合,利用自动渗透的便捷性,针对资产量庞大、资产频繁变化的业务场景,做快速、基础性、持续性的安全检测,让安全渗透人员重点专注于复杂逻辑类漏洞风险问题的识别发现。

墨云科技结合AI与渗透攻防技术,打造了一款智能自动化攻击验证平台VackBot(虚拟黑客),可自动进行资产挖掘、攻击面识别、漏洞验证、模拟攻击利用和风险取证,自主决策探寻所有可能的攻击路径,基于漏洞原理检测和验证各类漏洞,测试结果精准,为用户输出高质量渗透测试报告。

VackBot(虚拟黑客)智能自动化攻击验证平台可实现:

1、攻击面挖掘
自动识别端口服务、WEB指纹、URL、后台登录入口、文件上传入口等攻击面信息。


2、漏洞检测与验证
自动检测和验证各类系统漏洞和WEB应用漏洞。


3、模拟攻击与风险取证
自动生成漏洞利用载荷,对漏洞进行模拟攻击利用,实现对目标系统的模拟攻击和风险取证。


4、智能化渗透测试
自主决策探寻所有可能的攻击路径链,自动执行迭代攻击和横向移动。


5、风险可视化和报告
以攻击链图方式对整个渗透攻击过程进行可视化展现,清晰展示渗透过程和关键风险点位置。

墨云科技作为国内领先的智能网络攻防科技安全服务提供商,一直秉持着让网络攻防更智能的使命,不断创造突破性技术,专注人工智能在攻防安全领域的应用研究,打造智能化产品体系,为客户提供全方位的信息安全服务。



参考来源

https://mp.weixin.qq.com/s/2yXkvdRKN_UyqkWprgJmTg

https://mp.weixin.qq.com/s/7nVbPTMD694NWX2xhgN6WA

https://mp.weixin.qq.com/s/s_By3yETFrhbWIe6IkfCKA



END



相关阅读





您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存