自動化滲透測試能代替人嗎？

■ 北京 李賀

編者按：自動化憑借極高的工作效率，在滲透測試領(lǐng)域帶來意想不到的效果，那么自動化滲透測試工具能夠代替甚至取代人工方式嗎？本文將對此進(jìn)行解析。

在過去幾年中，自動化在網(wǎng)絡(luò)安全許多細(xì)分領(lǐng)域中的應(yīng)用已急劇增加，但似乎滲透測試仍然沒有受到“影響”。

盡管在過去眾包安全已發(fā)展成為滲透測試的替代方法，但它不是基于自動化的，并且也面臨許多問題，同時也存在一些不足之處。而在近期，某些自動化滲透測試工具出現(xiàn)在人們的視野中，那么它們現(xiàn)在可以代替人工滲透測試嗎？

自動化滲透測試工具是如何工作的？

要回答這個問題，我們首先需要了解其工作原理，更重要的是，需弄清楚它們不能做什么。過去一年中，筆者對它們與同類人工滲透測試工具進(jìn)行了比較，最為感觸的是這些自動化工具的發(fā)展速度非常驚人，甚至在寫過這篇文章之后可能就已經(jīng)過時了。

首先，滲透測試的“交付”是由代理或VM 完成的，該代理或VM 有效地模擬了滲透測試的計算機(jī)及攻擊代理侵入網(wǎng)絡(luò)的過程。然后，滲透測試機(jī)器人將通過執(zhí)行人工需要執(zhí)行的掃描來在其環(huán)境中進(jìn)行偵查。因此，用戶經(jīng)常會在滲透測試機(jī)器人中使用其選擇的工具或僅使用Nmap 或Masscan 來進(jìn)行漏洞掃描。一旦確定了它們在環(huán)境中的位置，它們就會對所發(fā)現(xiàn)的內(nèi)容進(jìn)行過濾。這些也是它們與漏洞掃描程序的相似之處。

但漏洞掃描程序僅能列出一系列漏洞和潛在漏洞，而這些漏洞和潛在漏洞沒有關(guān)于其可利用性的上下文，并且僅通過CVE 和CVSS 分?jǐn)?shù)來說明某系統(tǒng)易受攻擊程度，但不能很好地解決誤報問題。

然后，自動化滲透測試工具將從目標(biāo)列表中選擇“最佳”系統(tǒng)來實施入侵，并根據(jù)漏洞利用的難易程度、噪聲和其他類似因素做出決策。例如，如果安裝的Windows 系統(tǒng)包含“永恒之藍(lán)”漏洞，那么它可能比暴力破解開放的SSH 端口更易受到入侵。

一旦獲得立足點(diǎn)，它就會通過網(wǎng)絡(luò)傳播自己，模仿人工滲透測試者或攻擊者的行為。但是唯一的不同是，它實際上是在設(shè)備上安裝了自己代理的版本，并從那里作為其另一個核心（不同供應(yīng)商的操作方式有所不同）。

然后，它會從頭開始重新啟動該過程，但是這次還可以確保它對所入侵的設(shè)備進(jìn)行取證調(diào)查，以提供更多的支持以繼續(xù)其在網(wǎng)絡(luò)中的入侵。如果可能的話，它還將在此處轉(zhuǎn)儲密碼哈?；虿檎矣簿幋a的憑據(jù)或SSH 密鑰。然后它將在下一輪入侵中將其添加到庫中。因此，盡管以前它可能只是重復(fù)了掃描/ 利用/ 數(shù)據(jù)透視功能，但這次它將嘗試通過哈希攻擊或嘗試使用剛剛竊取的密鑰連接到SSH 端口。然后，它將再次從此處重復(fù)之前的行為，依此類推。

您或許發(fā)現(xiàn)這與一個人工滲透測試的行為有很多相似之處，的確是這樣：這其中很多也正是攻擊者的行為方式。這些工具集是相似的，并且用于攻擊的技術(shù)和理念在許多方面也都相同。

不同之處有哪些？

首先，自動化滲透測試比傳統(tǒng)的滲透測試方法（以及表現(xiàn)混亂的眾包方法）具有一些優(yōu)勢。

測試和報告的速度要快很多數(shù)量級，并且報告的可讀性實際上也非常高（在通過某些QSA 驗證后，它們還將通過各種PCI DSS 滲透測試要求）。

由人工起草的報告通常要等待幾天或幾周時間，而自動化滲透測試在很短時間就可以進(jìn)行幾輪質(zhì)量檢查，然后再交付。這也是人工滲透測試的主要弊端之一，連續(xù)交付的過程已導(dǎo)致許多人工滲透測試報告在交付后就過時了——因為在完成測試后，測試環(huán)境已經(jīng)進(jìn)行了更新，因此可能會引入潛在的漏洞和錯誤配置，而這些問題和錯誤配置在滲透測試時并未出現(xiàn)。這就是為什么傳統(tǒng)的人工滲透測試更像是特定時間點(diǎn)的安全狀況快照。

自動化滲透測試工具可以每天兩次或每次隨時更改測試，幾乎可以立即交付報告，從而克服了人工滲透測試的限制。

第二個優(yōu)點(diǎn)是切入點(diǎn)。人工滲透測試需要給定一個進(jìn)入網(wǎng)絡(luò)的特定入口點(diǎn)，而一個自動化滲透測試工具可以從不同的入口點(diǎn)多次運(yùn)行相同的滲透測試，以發(fā)現(xiàn)網(wǎng)絡(luò)中易受攻擊的地方，并根據(jù)入口點(diǎn)監(jiān)視各種影響情況。當(dāng)然從理論上講，這對于人工操作也是可行的，但由于每次都需要為不同的測試付費(fèi)，因此投入成本很高。

不足之處有哪些？

1.自動化滲透測試工具完全不了解Web 應(yīng)用程序。盡管它們會在端口或服務(wù)級別檢測到類似Web 服務(wù)器的內(nèi)容，但他們無法理解用戶的內(nèi)部API 中存在的IDOR漏洞，或者內(nèi)部網(wǎng)頁中存在的SSRF（可用于進(jìn)一步擴(kuò)展）。這是因為當(dāng)前的網(wǎng)絡(luò)堆棧非常復(fù)雜，即使是專業(yè)的掃描工具（例如Web 應(yīng)用程序掃描工具）也很難檢測到潛在的漏洞（例如XSS 或SQLi）。

2.用戶只能在網(wǎng)絡(luò)內(nèi)部使用自動化滲透測試工具。由于大多數(shù)公司基礎(chǔ)架構(gòu)都是基于Web 的，并且自動化滲透測試工具無法理解這些內(nèi)容，因此用戶仍然需要使用傳統(tǒng)人工的滲透測試，來對外部進(jìn)行測試。

總而言之，該技術(shù)顯示出巨大的希望，但仍處于起步階段，雖然它們還沒有準(zhǔn)備好使人類滲透測試者變得多余，但它們確實在應(yīng)對當(dāng)今的進(jìn)攻性安全挑戰(zhàn)中發(fā)揮了作用，而這些挑戰(zhàn)如果沒有自動化就無法解決。