這家企業提供真正的自動化滲透測試服務
機器速度帶來擴充套件性,人類滲透測試員確保準確性。
公司企業知曉自身網路漏洞的最佳方法之一,就是聘用滲透測試員對自己的網路進行真實的攻擊——去掉惡意攻擊載荷的那種。軍隊所謂的紅隊演練說的就是這事兒。如果滲透測試員技術高超,或者根本就是前黑客,他們可以幫你找出網路上最脆弱的地方。
滲透測試存在兩個主要問題和一個令人困擾的地方。第一個問題是滲透測試幾乎無法擴充套件。人類測試員的速度就那麼快,即便給他們較長的時間攻擊客戶網路,比如說一個星期,他們也只能觸及大多數企業的一小部分網路。第二個問題在於人類測試員無法持續工作,公司企業在測試間隙就直面很多風險了。至於困擾,那就是太貴了——最好的測試團隊開價可達 10萬美元/次 。
ImmuniWeb套件旨在成為任何人都用得起的滲透測試平臺,所用方法就是自動化滲透測試涉及的幾乎所有過程,同時還有專家團隊隨時線上解決平臺無法解決的新問題。而且,在人類專家解決問題的時候,平臺會觀察專家做法,運用機器學習訓練自身,下次在遇到同樣問題便不會卡住了。另外,當ImmuniWeb遇到疑似漏洞但無法完全確定的時候,也會呼叫人類專家參與判定,由人類專家做出是否確認為漏洞的決策。ImmuniWeb的出品公司 High-Tech Bridge 保證,測試絕不會出現誤報。如果出現誤報,測試費用如數奉還。
與聘用人類滲透測試團隊相比,這個以按需服務的形式提供的平臺定價相對合理:月訂閱費用999美元起。
測試ImmuniWeb
ImmuniWeb平臺的安裝過程幾乎相當於不存在。潛在客戶只需要訪問 High-Tech Bridge 網站,回答幾個關於自身網路和所需測試型別的問題,然後選擇支付選項,再輸入具體測試要求,比如特定日期不要測試、不測試SQL等等。也可以選擇人工服務,但通常用不著麻煩客服小姐就能自己搞定。
使用者在後端必須做的一件事情,是將用於發起探測和模擬攻擊的IP地址列入白名單,以便 ImmuniWeb Continuous 滲透測試工作得以進行,不會受到防火牆之類邊界防禦措施的阻擋。通常往白名單中加入5個IP地址就足夠了。
IP一設好,ImmuniWeb Continuous 就可以開工了。平臺會開始查詢並掃描大部分網路。不過,大多數公司都有從外部訪問不到或者至少不應該能從外部訪問到的內部資產。ImmuniWeb會查詢意外暴露在網際網路上的內部資產。但對於從外部絕對訪問不到的真正內部資產,ImmuniWeb需要在網路內安裝或虛擬安裝一臺Linux機器作為代理,以便對內部程式執行掃描,並收集整理成結果報告發回。 這是ImmuniWeb提供的一個可選項,但如果公司對內部漏洞或威脅頗為擔憂,也不失為一個很有用的功能。
ImmuniWeb Continuous 能夠找到測試網路上所有面向公眾的資產,然後對其執行一系列漏洞掃描。除了標準漏洞追捕引擎,該平臺還囊括了常見的測試標準,比如HIPAA、PCI和GDPR合規等。如果客戶有特定行業指南或政府監管需求要測,也可以很方便地新增上去。
對該平臺的實際測試中,ImmuniWeb在某個例項上遇到了一個不能完全確定的漏洞。雖然置信度達到了70%,但仍不足以令該平臺做出決定性判斷。因此,該潛在漏洞最初並沒有列入結果報告中。ImmuniWeb平臺呼叫了人類滲透測試員。這一後端處理過程對使用者不可見,不過,出於測評需要,測評人員全程跟蹤了整個過程。人類滲透測試員接到平臺的呼叫請求後進行了自己的測試,不僅僅是證實漏洞,也是對ImmuniWeb的再訓練,讓ImmuniWeb未來再碰到類似的防禦缺陷時知道該怎麼判斷。1天之內,該漏洞便得以確認,新增到了總體結果報告中。
結論
ImmuniWeb,尤其是 ImmuniWeb Continuous,是遠超漏洞掃描器的健壯漏洞管理工具。ImmuniWeb以人類專家監管下的自動化方式提供真正的滲透測試,其機器速度帶來了擴充套件性,同時人類專家的監管確保了準確性,不失為一款既經濟節約又摒除了間斷性人類滲透測試固有缺陷的優秀產品。