自动化渗透测试 二三事

  自动化渗透测试在安全专业技术人员的工具包中发挥着重要的作用。作为全面安全程序的一部分，这些工具可以快速评估系统、网络和应用抵御各种威胁的安全性。但安全专业技术人员应该将其视为传统手动测试技术的一种补充，而不是替代。

  在渗透测试中，安全专业技术人员在系统和应用中执行蓄意攻击，以确定是不是可能获得没有经过授权的访问权限。这些测试的目的是采用“攻击者心态”，使用实际攻击者利用的相同的工具和技术来探测安全漏洞。渗透测试被广泛认为对系统安全性的最好检验，因为它最接近真实世界的攻击。执行这些测试常常要技术娴熟的人员花费大量时间来执行，并且，在理想情况下，执行这些测试的工程师要达到或者超过潜在攻击者的技能水平。

  渗透测试的高度手动性质和巨大代价导致很多企业选择自动化部分过程。该测试仍然由熟练的专业技术人员指导，但很多步骤被自动化，以去除该测试的繁重的部分。例如，测试者能够正常的使用漏洞扫描仪来测试大量系统中是不是真的存在漏洞。同样地，他们能够使用自动化漏洞利用工具来执行多步骤攻击。

  使用这些工具为企业提供了几个关键的好处。首先，当新漏洞出现时，使用频繁扫描提高了检测速度。其次，自动化工具可以广泛测试大量系统中很多已知安全漏洞，而不需要繁琐的手动测试过程。最后，自动化工具减轻了高技能人员繁琐的工作，让他们可以集中精力来协调测试以及运用其专业知识在最重要的地方。

  自动化测试工具也可以是IT合规稽核的关键组成部分。例如，支付卡行业数据安全标准(PCI DSS)要求对卡处理系统定期进行漏洞评估。自动化是满足这一要求的唯一现实途径。但是，需要注意的是，自动化并不是PCI合规的万能办法。该标准承认：“渗透测试通常是高度手动换的过程。虽然能够正常的使用一些自动化工具，但测试人员需要运用他们对系统的知识来渗透到环境中。”

  渗透测试人员的工具包应该包括广泛的自动化工具，让他或者她可以尽可能多的自动化其工作，以及在必要时使用手动来补充自动工具。这些工具应该包括网络漏洞管理套件，例如Nessus、Qualys或者Rapid7。这些工具可以在整个企业中执行快速广泛的扫描，以发现面向网络的漏洞。此外，渗透测试者应该使用Web渗透测试工具，例如Acunetix或者Weblnspect，这些工具可以检测Web应用中的常见安全漏洞，例如SQL注入或者跨站脚本漏洞。

  最后，每个工具集应该包括开源Metasploit框架。这个漏洞信息和漏洞利用攻击集填补了自动化和手动测试之间的差距，让测试人能探测网络和Web评估工具检测到的漏洞，以确定攻击者能否真正利用它们来获取没有经过授权访问权限。基本的Metasploit框架是免费的，有些商业供应商基于该框架推出了图形界面和其他工具。

  自动化渗透测试技术能给安全计划带来显著的优势。这些工具提供对系统安全的快速全面的评估，这是对手动测试技术的很好的补充。

  国务院再给国家能源集团、国电投、中广核等企业授权放权！涉及选人用人、股权激励、工资总额管理等

  泛在电力物联网产业生态联盟大会在京举办 泛在电力物联网产业 生态联盟揭牌成立

  CHFCE2019（第四届）中国国际氢能与燃料电池技术应用展览暨产业高质量发展大会即将举行

  大唐集团董事长陈飞虎拜会老挝国家主席本扬·沃拉吉 逐步加强电力项目合作