自動化滲透測試可替代人類?你想多了
責編:gltian |2021-01-11 14:17:28自動化滲透測試工具歷經多年發展,但真的先進到了不再需要滲透測試人員的程度?
過去幾年,網絡安全自動化大幅增長,但滲透測試依然免疫,還是依賴滲透測試員人工操作。盡管眾包安全在過去10年間已成長為滲透測試的替代選擇,卻并非基于自動化,不過是在一個問題上投入更多人力而已(而且過程中還會引入其固有的缺陷)。不過,自動化滲透測試工具最近已經發展到了在特定條件下比較有效的程度。于是問題來了:這些工具能夠替代滲透測試人員嗎?
可以對自動化滲透測試工具進行大量對比試驗,看能否趕得上滲透測試員的效果和效率;但此類自動化工具的發展堪稱現象級,去年做的對照測試分析,今天再來看可能就過時了。所以,以下分析結果,還請各位讀者帶著發展的眼光看問題。
自動化滲透測試工具的運行機制
這些工具通過代理或虛擬機交付滲透測試,此類代理或虛擬機模擬滲透測試人員的筆記本電腦和/或接入客戶網絡的攻擊代理。滲透測試機器人程序會偵察其所在環境,執行測試人員都會做的類似掃描:用喜歡的工具執行漏洞掃描,或者就用Nmap或Masscan掃一遍端口和服務。確定自身在環境中所處位置之后,自動化工具會篩選所獲信息。從這一步開始,就不再雷同漏洞掃描器了。
漏洞掃描器只是簡單羅列找到的漏洞和潛在漏洞,并沒有關于漏洞可利用程度的上下文。它們不過是照搬通用漏洞與暴露(CVE)參考和通用漏洞評分系統(CVSS)得分而已。有時候漏洞掃描器會貼出系統易受攻擊的“證據”,但處理不好誤報問題。自動化滲透測試工具則會從這些目標中選擇要接管的“最佳”系統,基于漏洞利用難易度、噪音及此類因素做出決策。舉個例子,如果滲透測試機器人程序發現某Windows機器易受永恒之藍攻擊,它可能會選擇暴力破解要驗證密碼的開放SSH端口,因為這是廣為人知的漏洞利用,利用起來還又快又簡單。
一旦獲得立足點,滲透測試工具就會通過網絡擴散,仿照滲透測試人員或攻擊者的做法。不同之處在于,自動化滲透測試工具會在被利用的機器上安裝自己的代理,以此為支點繼續向外輻射。工具會重新展開滲透過程,只不過,這一次會極其仔細地探查機器,收集更多信息,更有針對性地繼續在客戶網絡中的旅程。這一步驟中,滲透工具可能會轉儲密碼哈希,或者查找硬編碼的憑證,然后將之納入下一輪滲透的彈藥庫。雖然之前可能已經重復過掃描/漏洞利用/跳轉,這一次,自動化滲透工具將嘗試“哈希傳遞”攻擊,或利用剛剛偷得的密鑰連接SSH端口。然后,再次跳轉,繼續擴散。
如果你注意到自動化滲透測試工具的動作與滲透測試人員的操作有很多共同點,那就對了:滲透測試人員基本上就是這么干的(某種程度上,攻擊者也是這么干的)。工具集很雷同,用來跳轉的技術和方法在很多方面上也很類似。那么,有哪些地方不一樣呢?
自動化滲透測試的優勢
相對于有些年頭的滲透測試方法(和混亂的眾包方法),自動化具備一些優勢。
首先,測試和報告的速度大大加快,而且報告的可讀性令人驚艷。(經多名合格安全評估師(QSA)驗證,這些報告可以滿足各種PCI-DSS滲透測試要求。)無需等待滲透測試人員花費數天或數周時間撰寫報告并經過幾輪質保檢查,即可到手清晰明了的滲透測試報告。
人工滲透測試目前的主要缺陷之一,就是持續交付意味著很多報告在交付之前就已經過時了。測試之后,環境已歷經多次更新,引入了滲透測試之時并不存在的新潛在漏洞和配置錯誤。這就是傳統滲透測試不過是某個時刻的安全態勢快照的原因所在。
通過每天、每天兩次,甚或每次更改后執行一次滲透測試,以及幾乎即時交付測試報告,自動化滲透測試工具規避了這一遲滯局限。這意味著你可以日常滲透測試你的環境并檢測可能遭利用的配置更改,不用依賴數周以后才交付的報告。
自動化的第二個優勢在于入口點。你可能會給滲透測試人員一個特定入口點來進入你的網絡,但自動化工具就能從多個不同入口點多次執行同樣的滲透測試,發現各入口點的弱點,檢查各種可能造成影響的場景。雖然理論上人工滲透測試也可以做到這種程度,但每次不同測試都需要投入一大筆預算開銷。
自動化滲透測試的劣勢
自動化滲透測試工具也存在弊端。首先,此類工具壓根兒不了解Web應用。雖然可以在端口/服務級檢測到Web服務器,但自動化滲透測試工具搞不懂是內部API存在不安全直接對象引用(IDOR)漏洞,還是內部網頁存在滲透測試人員可利用來進一步跳轉的服務器端請求偽造(SSRF)漏洞。自動化滲透測試工具之所以存在這種缺陷,是因為今天的Web技術棧實在太過復雜,即使專業掃描器(例如Web應用掃描器)都難以檢測不太好利用的漏洞(例如跨站腳本(XSS)或SQL注入(SQLi))。
由此又引出自動化滲透測試工具的另一弱點:你只能在網絡“內部”使用這些工具。由于最為暴露的公司基礎設施就是基于Web的那些,而自動化滲透測試工具又理解不了這些基礎設施,你就仍然需要依靠來自外部的優秀滲透測試人員。
當前情況
自動化滲透測試技術前景廣闊,但仍處于早期階段。盡管暫時還無法替代滲透測試人員,卻也有助于應對當今不借助自動化就無法解決的攻擊性安全挑戰。
來源:數世咨詢