自动化渗透测试二三事

自动化渗透测试在安全专业人员的工具包中发挥着重要的作用。作为全面安全程序的一部分，这些工具可以快速评估系统、网络和应用抵御各种威胁的安全性。但安全专业人员应该将其视为传统手动测试技术的一种补充，而不是替代。

什么是自动化渗透测试?

在渗透测试中，安全专业人士在系统和应用中执行蓄意攻击，以确定是否可能获得未经授权的访问权限。这些测试的目的是采用“攻击者心态”，使用实际攻击者利用的相同的工具和技术来探测安全漏洞。渗透测试被广泛认为对系统安全性的最好检验，因为它最接近真实世界的攻击。执行这些测试通常需要技术娴熟的人员花费大量时间来执行，并且，在理想情况下，执行这些测试的工程师需要达到或者超过潜在攻击者的技能水平。

渗透测试的高度手动性质和巨大代价导致很多企业选择自动化部分过程。该测试仍然由熟练的专业人士指导，但很多步骤被自动化，以去除该测试的繁重的部分。例如，测试者可以使用漏洞扫描仪来测试大量系统中是否存在漏洞。同样地，他们可以使用自动化漏洞利用工具来执行多步骤攻击。

为什么使用自动化测试?

使用这些工具为企业提供了几个关键的好处。首先，当新漏洞出现时，使用频繁扫描提高了检测速度。其次，自动化工具可以广泛测试大量系统中很多已知安全漏洞，而不需要繁琐的手动测试过程。最后，自动化工具减轻了高技能人员繁琐的工作，让他们可以集中精力来协调测试以及运用其专业知识在最重要的地方。

自动化测试工具也可以是IT合规稽核的关键组成部分。例如，支付卡行业数据安全标准(PCI DSS)要求对卡处理系统定期进行漏洞评估。自动化是满足这一要求的唯一现实途径。但是，需要注意的是，自动化并不是PCI合规的万能办法。该标准承认：“渗透测试通常是高度手动换的过程。虽然可以使用一些自动化工具，但测试人员需要运用他们对系统的知识来渗透到环境中。”

选择你的工具集

渗透测试人员的工具包应该包括广泛的自动化工具，让他或者她可以尽可能多的自动化其工作，以及在必要时使用手动来补充自动工具。这些工具应该包括网络漏洞管理套件，例如Nessus、Qualys或者Rapid7。这些工具可以在整个企业中执行快速广泛的扫描，以发现面向网络的漏洞。此外，渗透测试者应该使用Web渗透测试工具，例如Acunetix或者Weblnspect，这些工具可以检测Web应用中的常见安全漏洞，例如SQL注入或者跨站脚本漏洞。

最后，每个工具集应该包括开源Metasploit框架。这个漏洞信息和漏洞利用攻击集填补了自动化和手动测试之间的差距，让测试人员可以探测网络和Web评估工具检测到的漏洞，以确定攻击者是否能够真正利用它们来获取未经授权访问权限。基本的Metasploit框架是免费的，有些商业供应商基于该框架推出了图形界面和其他工具。

自动化渗透测试技术可以给安全计划带来显著的优势。这些工具提供对系统安全的快速全面的评估，这是对手动测试技术的很好的补充。