自動(dòng)化滲透測(cè)試在安全專業(yè)人員的工具包中發(fā)揮著重要的作用。作為全面安全程序的一部分，這些工具可以快速評(píng)估系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用抵御各種威脅的安全性。但安全專業(yè)人員應(yīng)該將其視為傳統(tǒng)手動(dòng)測(cè)試技術(shù)的一種補(bǔ)充，而不是替代。

什么是自動(dòng)化滲透測(cè)試?

在滲透測(cè)試中，安全專業(yè)人士在系統(tǒng)和應(yīng)用中執(zhí)行蓄意攻擊，以確定是否可能獲得未經(jīng)授權(quán)的訪問權(quán)限。這些測(cè)試的目的是采用“攻擊者心態(tài)”，使用實(shí)際攻擊者利用的相同的工具和技術(shù)來探測(cè)安全漏洞。滲透測(cè)試被廣泛認(rèn)為對(duì)系統(tǒng)安全性的最好檢驗(yàn)，因?yàn)樗罱咏鎸?shí)世界的攻擊。執(zhí)行這些測(cè)試通常需要技術(shù)嫻熟的人員花費(fèi)大量時(shí)間來執(zhí)行，并且，在理想情況下，執(zhí)行這些測(cè)試的工程師需要達(dá)到或者超過潛在攻擊者的技能水平。

滲透測(cè)試的高度手動(dòng)性質(zhì)和巨大代價(jià)導(dǎo)致很多企業(yè)選擇自動(dòng)化部分過程。該測(cè)試仍然由熟練的專業(yè)人士指導(dǎo)，但很多步驟被自動(dòng)化，以去除該測(cè)試的繁重的部分。例如，測(cè)試者可以使用漏洞掃描儀來測(cè)試大量系統(tǒng)中是否存在漏洞。同樣地，他們可以使用自動(dòng)化漏洞利用工具來執(zhí)行多步驟攻擊。

為什么使用自動(dòng)化測(cè)試?

使用這些工具為企業(yè)提供了幾個(gè)關(guān)鍵的好處。首先，當(dāng)新漏洞出現(xiàn)時(shí)，使用頻繁掃描提高了檢測(cè)速度。其次，自動(dòng)化工具可以廣泛測(cè)試大量系統(tǒng)中很多已知安全漏洞，而不需要繁瑣的手動(dòng)測(cè)試過程。最后，自動(dòng)化工具減輕了高技能人員繁瑣的工作，讓他們可以集中精力來協(xié)調(diào)測(cè)試以及運(yùn)用其專業(yè)知識(shí)在最重要的地方。

自動(dòng)化測(cè)試工具也可以是IT合規(guī)稽核的關(guān)鍵組成部分。例如，支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)要求對(duì)卡處理系統(tǒng)定期進(jìn)行漏洞評(píng)估。自動(dòng)化是滿足這一要求的唯一現(xiàn)實(shí)途徑。但是，需要注意的是，自動(dòng)化并不是PCI合規(guī)的萬能辦法。該標(biāo)準(zhǔn)承認(rèn)：“滲透測(cè)試通常是高度手動(dòng)換的過程。雖然可以使用一些自動(dòng)化工具，但測(cè)試人員需要運(yùn)用他們對(duì)系統(tǒng)的知識(shí)來滲透到環(huán)境中。”

選擇你的工具集

滲透測(cè)試人員的工具包應(yīng)該包括廣泛的自動(dòng)化工具，讓他或者她可以盡可能多的自動(dòng)化其工作，以及在必要時(shí)使用手動(dòng)來補(bǔ)充自動(dòng)工具。這些工具應(yīng)該包括網(wǎng)絡(luò)漏洞管理套件，例如Nessus、Qualys或者Rapid7。這些工具可以在整個(gè)企業(yè)中執(zhí)行快速?gòu)V泛的掃描，以發(fā)現(xiàn)面向網(wǎng)絡(luò)的漏洞。此外，滲透測(cè)試者應(yīng)該使用Web滲透測(cè)試工具，例如Acunetix或者Weblnspect，這些工具可以檢測(cè)Web應(yīng)用中的常見安全漏洞，例如SQL注入或者跨站腳本漏洞。

最后，每個(gè)工具集應(yīng)該包括開源Metasploit框架。這個(gè)漏洞信息和漏洞利用攻擊集填補(bǔ)了自動(dòng)化和手動(dòng)測(cè)試之間的差距，讓測(cè)試人員可以探測(cè)網(wǎng)絡(luò)和Web評(píng)估工具檢測(cè)到的漏洞，以確定攻擊者是否能夠真正利用它們來獲取未經(jīng)授權(quán)訪問權(quán)限?；镜腗etasploit框架是免費(fèi)的，有些商業(yè)供應(yīng)商基于該框架推出了圖形界面和其他工具。

自動(dòng)化滲透測(cè)試技術(shù)可以給安全計(jì)劃帶來顯著的優(yōu)勢(shì)。這些工具提供對(duì)系統(tǒng)安全的快速全面的評(píng)估，這是對(duì)手動(dòng)測(cè)試技術(shù)的很好的補(bǔ)充。