如果說漏洞掃描是拿著望遠(yuǎn)鏡在發(fā)現(xiàn)海平面上即將拍打而來的波浪，那么更近一步通過模擬攻擊進(jìn)行漏洞的挖掘與評(píng)價(jià)便是讓我們看見海平面下存在的暗流。由此誕生的通過攻擊者視角對(duì)自身系統(tǒng)進(jìn)行滲透測(cè)試(以下僅指黑盒)發(fā)現(xiàn)存在的漏洞是業(yè)內(nèi)公認(rèn)知曉自身網(wǎng)絡(luò)漏洞的最佳方法之一。

基于滲透測(cè)試不僅可以發(fā)現(xiàn)如業(yè)務(wù)邏輯這類機(jī)器不易識(shí)別的漏洞，還可以針對(duì)性的模擬黑客的攻擊策略發(fā)現(xiàn)潛在的弱點(diǎn)，而通常導(dǎo)致企業(yè)系統(tǒng)安全崩塌的也正是這些看不見的“暗流”。

自動(dòng)化滲透測(cè)試需求的誕生

滲透測(cè)試的核心是利用各種測(cè)試工具和自身對(duì)于業(yè)務(wù)系統(tǒng)的理解與判斷，分析業(yè)務(wù)系統(tǒng)中可能存在的安全漏洞和業(yè)務(wù)邏輯缺陷，并嘗試?yán)脕碓u(píng)估其安全性。由于主體是人以提供安全服務(wù)的方式進(jìn)行，不可避免會(huì)產(chǎn)生一些問題：

依賴知識(shí)經(jīng)驗(yàn)——滲透測(cè)試工程師對(duì)于工具的應(yīng)用熟練度、攻擊手段和經(jīng)驗(yàn)積累、漏洞的利用方式等都是滲透是否成功的關(guān)鍵。因而，滲透測(cè)試工程師水平的參差不齊導(dǎo)致單次的滲透并不能總是達(dá)到預(yù)期的效果。

覆蓋度比較低——安全廠商通常以服務(wù)的方式提供滲透測(cè)試，由于高昂的費(fèi)用和時(shí)間成本，通常滲透測(cè)試僅針對(duì)關(guān)鍵主站進(jìn)行，無法覆蓋所有的暴露面，給安全留下了較大的隱患。

人的缺陷——安全最脆弱的地方在于人，人無法持續(xù)工作，且效率與狀態(tài)息息相關(guān)，并且無法對(duì)他們所有的行為進(jìn)行實(shí)時(shí)監(jiān)控。而測(cè)試人員也會(huì)希望利用已經(jīng)抓到的漏洞進(jìn)一步深挖來實(shí)現(xiàn)工作成果，這也導(dǎo)致了測(cè)試人員本身在測(cè)試出相關(guān)漏洞且具備一定的權(quán)限時(shí)，會(huì)出現(xiàn)自身能力和約束力失衡的局面。

為了解決此類問題，同時(shí)又要保持滲透測(cè)試的優(yōu)點(diǎn)，自然而然也就誕生了能否通過機(jī)器進(jìn)行自動(dòng)化滲透測(cè)試的需求。

在國(guó)際上，自動(dòng)化滲透測(cè)試需求通常會(huì)被演化為兩類產(chǎn)品，一類是針對(duì)滲透測(cè)試中的專項(xiàng)環(huán)節(jié)的漏洞掃描與評(píng)估工具，如Nessus、Burp Suite、SQLmap;另一類是具備綜合能力的滲透測(cè)試框架工具，如Kali Linux、Metasploit。兩者的共性是將滲透測(cè)試工作中可重復(fù)、可標(biāo)準(zhǔn)化的部分工作進(jìn)行自動(dòng)化，而流程化的內(nèi)容通過工具降低工作的復(fù)雜度。一方面是彌補(bǔ)滲透測(cè)試對(duì)于人工滲透的依賴，另一方面也是希望滲透測(cè)試盡可能的自動(dòng)化，但不會(huì)因?yàn)楣ぞ叩钠款i抑制了人的滲透思路，保障滲透測(cè)試具有足夠的天花板。

所以自動(dòng)化滲透的需求雖然存在，但由于滲透測(cè)試自身的復(fù)雜性，很難將其轉(zhuǎn)化成完全自動(dòng)化的產(chǎn)品。即便如此，滲透測(cè)試自動(dòng)化的需求就是天方夜談了嗎?其實(shí)不然。

模擬攻擊檢測(cè)技術(shù)(BAS)初探

自動(dòng)化滲透需求之所以會(huì)變成工具化、專項(xiàng)化，原因就在于滲透測(cè)試是面向未知對(duì)象探索的過程。而自動(dòng)化本身是對(duì)已知的處置流程進(jìn)行標(biāo)準(zhǔn)化，兩者本身存在一定的沖突。但求同存異，兩者也可以發(fā)生化學(xué)反應(yīng)。如果將滲透測(cè)試中已知到已知的部分進(jìn)行提取和判定并進(jìn)行自動(dòng)化，這便是模擬攻擊測(cè)試技術(shù)(BAS)。如果說自動(dòng)化滲透測(cè)試是純粹站在攻擊視角，以挖掘系統(tǒng)中漏洞為目的，那模擬攻擊測(cè)試技術(shù)(BAS)則是同時(shí)站在攻防的視角下，以評(píng)價(jià)攻擊和漏洞挖掘的過程是否會(huì)被安全防御系統(tǒng)阻斷為目的。模擬攻擊測(cè)試技術(shù)(BAS)以紫隊(duì)的視角進(jìn)行面向過程+結(jié)果的綜合性安全評(píng)價(jià)。紫色團(tuán)隊(duì)不是永久的;它具有監(jiān)督和優(yōu)化紅藍(lán)團(tuán)隊(duì)演練的臨時(shí)功能。它通常由組織內(nèi)的安全分析師或高級(jí)安全人員組成。 如果紅隊(duì)和藍(lán)隊(duì)運(yùn)作良好，紫隊(duì)可能會(huì)變得多余。它更像是一個(gè)概念而不是一個(gè)功能，像是推動(dòng)紅隊(duì)測(cè)試和瞄準(zhǔn)藍(lán)隊(duì)防御和檢測(cè)能力的推手。

紫隊(duì)的目標(biāo)和職責(zé)包括：

l 分析紅藍(lán)兩隊(duì)的工作并記錄，同時(shí)也支持任意切換姿態(tài)評(píng)價(jià)攻擊或防守的有效性。

l 進(jìn)行紅藍(lán)工作的協(xié)同，分析記錄過程和輸出結(jié)果，以得到最大價(jià)值。

l 綜合紅藍(lán)工作，通過嘗試與學(xué)習(xí)改進(jìn)確保更強(qiáng)大的防御

通過模擬攻擊測(cè)試(BAS)將漏洞檢測(cè)、漏洞利用、攻擊請(qǐng)求、攻擊目的判定等多種過程的自動(dòng)化及結(jié)果串聯(lián)，實(shí)現(xiàn)對(duì)手模擬計(jì)劃以加強(qiáng)漏洞預(yù)防和檢測(cè)。模擬攻擊測(cè)試(BAS)不僅針對(duì)可能存在的漏洞進(jìn)行檢測(cè)和挖掘，同時(shí)對(duì)漏洞進(jìn)行進(jìn)一步的利用與影響擴(kuò)散，實(shí)現(xiàn)攻擊鏈的完整閉環(huán)，進(jìn)而全面繪制企業(yè)IT系統(tǒng)弱點(diǎn)和安全防御弱點(diǎn)。

下一代的風(fēng)險(xiǎn)評(píng)估

模擬攻擊測(cè)試技術(shù)(BAS)的出現(xiàn)也會(huì)一定程度上影響當(dāng)前的風(fēng)險(xiǎn)評(píng)估市場(chǎng)。傳統(tǒng)“資產(chǎn)+漏洞”的評(píng)估路線將向“資產(chǎn)+漏洞+防御+影響評(píng)價(jià)”進(jìn)行演進(jìn)。提到這就不得不說到MITRE公司，他所提出的ATT&CK框架和Shield框架，本身就是攻防一一對(duì)應(yīng)的關(guān)系，也就是模擬攻擊測(cè)試技術(shù)(BAS)的落地實(shí)踐。而攻擊框架+防御框架+安全能力成熟度模型，就是下一代風(fēng)險(xiǎn)評(píng)估的必然趨勢(shì)。

圖 ATT&CK

圖 Shield

華云安將多年沉淀的安全風(fēng)險(xiǎn)知識(shí)圖譜賦能“靈刃·智能化滲透攻防系統(tǒng)(Ai·Bot)”，利用人工智能技術(shù)，以評(píng)價(jià)漏洞的影響和模擬復(fù)現(xiàn)攻擊者路徑為目的，打造基于KillChain框架的智能化攻擊面挖掘產(chǎn)品，幫助企業(yè)梳理內(nèi)部的風(fēng)險(xiǎn)攻擊面，找到網(wǎng)絡(luò)架構(gòu)的脆弱點(diǎn)。靈刃內(nèi)置5大引擎，NLP處理引擎、知識(shí)圖譜引擎、路徑?jīng)Q策引擎、風(fēng)險(xiǎn)評(píng)估引擎、Exp/PoC執(zhí)行引擎，基于平臺(tái)大腦完成評(píng)價(jià)建模和過程決策，最終將攻擊鏈路可視化，讓管理者真實(shí)感知網(wǎng)絡(luò)安全狀況，提供有利的決策依據(jù)。

走完最后一公里路——傳統(tǒng)和新一代的漏洞掃描分別完成了漏洞的識(shí)別和漏洞的驗(yàn)證。然而在業(yè)務(wù)部門與安全部門割裂的現(xiàn)實(shí)場(chǎng)景中，業(yè)務(wù)部門需要了解漏洞對(duì)系統(tǒng)的真實(shí)影響以便決策。靈刃針對(duì)漏洞在系統(tǒng)的業(yè)務(wù)影響進(jìn)行評(píng)價(jià)，具象化漏洞影響價(jià)值，進(jìn)一步走完了將安全漏洞提交給業(yè)務(wù)部門的最后一公里路

看清水面下的暗流——利用平臺(tái)的決策和風(fēng)險(xiǎn)評(píng)估引擎作為大腦，靈刃可梳理漏洞可利用數(shù)據(jù)，還能明確資產(chǎn)間的應(yīng)用關(guān)聯(lián)關(guān)系，從而將漏洞風(fēng)險(xiǎn)打通，構(gòu)造完整的利用鏈路，并將攻擊路徑可視化，幫助企業(yè)看到完整的攻擊過程和內(nèi)網(wǎng)失陷情況。

單線檢測(cè)到樹形決策——靈刃不僅可以檢測(cè)更深層的漏洞，同時(shí)支持迭代攻擊驗(yàn)證的方式，對(duì)可利用的漏洞價(jià)值進(jìn)行梳理?；贏I決策引擎和知識(shí)圖譜技術(shù)，將傳統(tǒng)指紋匹配->PoC驗(yàn)證->Exp利用的線性決策升級(jí)為樹狀決策路徑，滿足更復(fù)雜的網(wǎng)絡(luò)環(huán)境和漏洞利用情況

目標(biāo)導(dǎo)向可控檢測(cè)——作為攻擊面檢測(cè)與挖掘工具，行為的可控性最為關(guān)鍵。靈刃具備精細(xì)化的行為及目標(biāo)進(jìn)行配置，并對(duì)完整評(píng)價(jià)過程實(shí)時(shí)呈現(xiàn)，必要時(shí)可立刻終止任務(wù)或基于日志審計(jì)所有測(cè)試行為，達(dá)到“指哪打哪，掛圖作戰(zhàn)”的效果

圖 靈鑒價(jià)值示意

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。