新闻中心
详情
渗透测试的“前世今生”
20世纪60年代渗透测试的概念即被提出,RAND公司提出了“通过系统测试的办法保证网络安全”的理念。
随着计算机技术、网络的快速发展,政府、公众对网络安全的要求越来越高,渗透测试被视为检验、提升系统抵御网络风险能力的有效手段,得以大规模应用。据Markets and Markets预估,渗透测试市场将以23.7%的复合年增长率从2016年的5.947亿美元增长至2021年17.243亿美元。
随着测试需求的扩大,渗透测试工具也大量的产生,包括网络扫描工具、破解工具和嗅探工具等诸多种类。但毫无疑问,专业的白帽子(渗透测试人员)才是支撑这一服务的主要生产力。渗透测试,仍属于“劳动密集型行业”,高度依赖人的经验、精力,产能有限是其主要的短板之一。
在“人工智能”和“大数据”大行其道的今天,渗透测试能否依托新的理念、新的技术?
破茧重生
着眼于当前的人工智能技术,神经网络、深度学习等算法大量应用于图像识别、语音识别和语义分析等领域,在实际应用中,相关领域因为有海量的样本及天然的容易数值化特性,所以可以进行数值化存储、深度学习和进行计算。而白帽子的渗透经验,是一种抽象的意识,难以进行数值化存储,更难以实现深度学习。并且,相较于图像、语音等海量的学习样本,白帽子的渗透经验更是“小众样本”。
对此,我们做了大量的调研,拜访了许多人工智能领域的专家,发现了从根本上解决上述问题的办法:利用“专家系统”及“知识图谱”,通过将有限的白帽子经验、有限的漏洞知识,同时借助专家系统使用规则语言进行描述、联动,形成一套决策系统化全要素引擎。通过对渗透测试过程进行整体的抽象,将该过程构建成一个巨大的模型,用于描述渗透测试流程,而后在该模型中定义了能够覆盖常见的渗透测试场景,将每一个场景中的渗透测试手段进行最小化的拆解,用专家经验对其进行描述,进而将这些经验固化并存储在知识图谱中。结合与大量的白帽子合作,将不同情况的漏洞利用经验输入决策引擎,最终,该系统会不断地成长,不断地自我超越。
在此基础上,网御星云携手云众可信将上述解决方案汇集于此,联合推出了自动化渗透测试平台,于今年8月正式上线。
自动化渗透测试平台注重测试过程中对多个风险点之间的关联利用,当发现多个目标弱点时,多角度漏洞联动利用,以达到发散式漏洞利用效果。具体来看,平台具有以下两大特点:
组合利用渗透节点和漏洞:结合漏洞联动经验,对同一目标的多个渗透节点和漏洞利用结果进行组合,全面发现测试站点的安全风险。
智能调整方案:平台可实现智能调整方案,持续性的渗透测试漏洞挖掘。同时,基于逻辑推理能力,根据当前网络安全环境变化,动态规划渗透测试的策略和方案。
例如,在一个资产弱点被修复后,平台将自动根据资产状态重新制定渗透方案,进行持续性、常态化的资产漏洞渗透挖掘工作,实现网络安全隐患的源头消控。
此外,平台通过绘制知识图谱,清晰展示渗透过程、渗透思路,实现攻击路径可视化,可用以提升组织人才孵化培养,实现从人到平台的“输入”,平台到人的“输出”。
网御星云将持续关注渗透测试领域并结合白帽子经验不断开展实践。我们坚信在不久的将来,自动化渗透测试平台可以像Alpha Go一样,在攻防演练中匹敌渗透测试界的“9段”选手,未来可期!
关键词:
扫二维码用手机看
上一个:
【安全意识篇】小心手机的安全“漩涡”!
下一个:
重庆市高新区领导班子赴网御星云参观考察
上一个:
【安全意识篇】小心手机的安全“漩涡”!
下一个:
重庆市高新区领导班子赴网御星云参观考察
北京网御星云信息技术有限公司 京ICP备05080314号-1
400-810-7766
成为伙伴 
视频中心 