自動化滲透測試能代替人嗎？

■ 北京 李賀

編者按：自動化憑借極高的工作效率，在滲透測試領域帶來意想不到的效果，那么自動化滲透測試工具能夠代替甚至取代人工方式嗎？本文將對此進行解析。

在過去幾年中，自動化在網絡安全許多細分領域中的應用已急劇增加，但似乎滲透測試仍然沒有受到“影響”。

盡管在過去眾包安全已發展成為滲透測試的替代方法，但它不是基于自動化的，并且也面臨許多問題，同時也存在一些不足之處。而在近期，某些自動化滲透測試工具出現在人們的視野中，那么它們現在可以代替人工滲透測試嗎？

自動化滲透測試工具是如何工作的？

要回答這個問題，我們首先需要了解其工作原理，更重要的是，需弄清楚它們不能做什么。過去一年中，筆者對它們與同類人工滲透測試工具進行了比較，最為感觸的是這些自動化工具的發展速度非常驚人，甚至在寫過這篇文章之后可能就已經過時了。

首先，滲透測試的“交付”是由代理或VM 完成的，該代理或VM 有效地模擬了滲透測試的計算機及攻擊代理侵入網絡的過程。然后，滲透測試機器人將通過執行人工需要執行的掃描來在其環境中進行偵查。因此，用戶經常會在滲透測試機器人中使用其選擇的工具或僅使用Nmap 或Masscan 來進行漏洞掃描。一旦確定了它們在環境中的位置，它們就會對所發現的內容進行過濾。這些也是它們與漏洞掃描程序的相似之處。

但漏洞掃描程序僅能列出一系列漏洞和潛在漏洞，而這些漏洞和潛在漏洞沒有關于其可利用性的上下文，并且僅通過CVE 和CVSS 分數來說明某系統易受攻擊程度，但不能很好地解決誤報問題。

然后，自動化滲透測試工具將從目標列表中選擇“最佳”系統來實施入侵，并根據漏洞利用的難易程度、噪聲和其他類似因素做出決策。例如，如果安裝的Windows 系統包含“永恒之藍”漏洞，那么它可能比暴力破解開放的SSH 端口更易受到入侵。

一旦獲得立足點，它就會通過網絡傳播自己，模仿人工滲透測試者或攻擊者的行為。但是唯一的不同是，它實際上是在設備上安裝了自己代理的版本，并從那里作為其另一個核心（不同供應商的操作方式有所不同）。

然后，它會從頭開始重新啟動該過程，但是這次還可以確保它對所入侵的設備進行取證調查，以提供更多的支持以繼續其在網絡中的入侵。如果可能的話，它還將在此處轉儲密碼哈希或查找硬編碼的憑據或SSH 密鑰。然后它將在下一輪入侵中將其添加到庫中。因此，盡管以前它可能只是重復了掃描/ 利用/ 數據透視功能，但這次它將嘗試通過哈希攻擊或嘗試使用剛剛竊取的密鑰連接到SSH 端口。然后，它將再次從此處重復之前的行為，依此類推。

您或許發現這與一個人工滲透測試的行為有很多相似之處，的確是這樣：這其中很多也正是攻擊者的行為方式。這些工具集是相似的，并且用于攻擊的技術和理念在許多方面也都相同。

不同之處有哪些？

首先，自動化滲透測試比傳統的滲透測試方法（以及表現混亂的眾包方法）具有一些優勢。

測試和報告的速度要快很多數量級，并且報告的可讀性實際上也非常高（在通過某些QSA 驗證后，它們還將通過各種PCI DSS 滲透測試要求）。

由人工起草的報告通常要等待幾天或幾周時間，而自動化滲透測試在很短時間就可以進行幾輪質量檢查，然后再交付。這也是人工滲透測試的主要弊端之一，連續交付的過程已導致許多人工滲透測試報告在交付后就過時了——因為在完成測試后，測試環境已經進行了更新，因此可能會引入潛在的漏洞和錯誤配置，而這些問題和錯誤配置在滲透測試時并未出現。這就是為什么傳統的人工滲透測試更像是特定時間點的安全狀況快照。

自動化滲透測試工具可以每天兩次或每次隨時更改測試，幾乎可以立即交付報告，從而克服了人工滲透測試的限制。

第二個優點是切入點。人工滲透測試需要給定一個進入網絡的特定入口點，而一個自動化滲透測試工具可以從不同的入口點多次運行相同的滲透測試，以發現網絡中易受攻擊的地方，并根據入口點監視各種影響情況。當然從理論上講，這對于人工操作也是可行的，但由于每次都需要為不同的測試付費，因此投入成本很高。

不足之處有哪些？

1.自動化滲透測試工具完全不了解Web 應用程序。盡管它們會在端口或服務級別檢測到類似Web 服務器的內容，但他們無法理解用戶的內部API 中存在的IDOR漏洞，或者內部網頁中存在的SSRF（可用于進一步擴展）。這是因為當前的網絡堆棧非常復雜，即使是專業的掃描工具（例如Web 應用程序掃描工具）也很難檢測到潛在的漏洞（例如XSS 或SQLi）。

2.用戶只能在網絡內部使用自動化滲透測試工具。由于大多數公司基礎架構都是基于Web 的，并且自動化滲透測試工具無法理解這些內容，因此用戶仍然需要使用傳統人工的滲透測試，來對外部進行測試。

總而言之，該技術顯示出巨大的希望，但仍處于起步階段，雖然它們還沒有準備好使人類滲透測試者變得多余，但它們確實在應對當今的進攻性安全挑戰中發揮了作用，而這些挑戰如果沒有自動化就無法解決。