自動化滲透測試

這些測試的目的是採用“攻擊者心態”，使用實際攻擊者利用的相同的工具和技術來探測安全漏洞。滲透測試被廣泛認為對系統安全性的最好檢驗，因為它最接近真實世界的攻擊。執行這些測試通常需要技術嫻熟的人員花費大量時間來執行，並且，在理想情況下，執行這些測試的工程師需要達到或者超過潛在攻擊者的技能水平。

滲透測試的高度手動性質和巨大代價導致很多企業選擇自動化部分過程。該測試仍然由熟練的專業人士指導，但很多步驟被自動化，以去除該測試的繁重的部分。例如，測試者可以使用漏洞掃瞄器來測試大量系統中是否存在漏洞。同樣地，他們可以使用自動化漏洞利用工具來執行多步驟攻擊。

使用這些工具為企業提供了幾個關鍵的好處。首先，當新漏洞出現時，使用頻繁掃描提高了檢測速度。其次，自動化工具可以廣泛測試大量系統中很多已知安全漏洞，而不需要繁瑣的手動測試過程。最後，自動化工具減輕了高技能人員繁瑣的工作，讓他們可以集中精力來協調測試以及運用其專業知識在最重要的地方。

自動化測試工具也可以是IT合規稽核的關鍵組成部分。例如，支付卡行業數據安全標準（PCI DSS）要求對卡處理系統定期進行漏洞評估。自動化是滿足這一要求的唯一現實途徑。但是，需要注意的是，自動化並不是PCI合規的萬能辦法。該標準承認：“滲透測試通常是高度手動換的過程。雖然可以使用一些自動化工具，但測試人員需要運用他們對系統的知識來滲透到環境中。”

滲透測試人員的工具包應該包括廣泛的自動化工具，讓他或者她可以儘可能多的自動化其工作，以及在必要時使用手動來補充自動工具。這些工具應該包括網路漏洞管理套件，例如Nessus、Qualys或者Rapid7。這些工具可以在整個企業中執行快速廣泛的掃描，以發現面向網路的漏洞。此外，滲透測試者應該使用Web滲透測試工具，例如Acunetix或者Weblnspect，這些工具可以檢測Web套用中的常見安全漏洞，例如SQL注入或者跨站腳本漏洞。

最後，每個工具集應該包括開源Metasploit框架。這個漏洞信息和漏洞利用攻擊集填補了自動化和手動測試之間的差距，讓測試人員可以探測網路和Web評估工具檢測到的漏洞，以確定攻擊者是否能夠真正利用它們來獲取未經授權訪問許可權。基本的Metasploit框架是免費的，有些商業供應商基於該框架推出了圖形界面和其他工具。

自動化滲透測試技術可以給安全計畫帶來顯著的優勢。這些工具提供對系統安全的快速全面的評估，這是對手動測試技術的很好的補充。