官网热线:400-100-0298
渗透测试是以黑客视角对目标系统进行渗透,挖掘检测目标网络系统中存在的漏洞,验证系统安全性。当前主要采用人工手动操作,对操作人员技能要求很高,易出错,效率低,技术经验无法有效积累,相应的技术成果也无法得到转化。自动探测目标网络系统,自动绘制目标网络拓扑,自动识别目标网络内各个资产存在的漏洞,基于漏洞生成目标设备的自动化渗透链,并对过程进行跟踪和展示,根据执行结果优化并再次验证,形成循环,持续迭代改进渗透系统。目前,博智自动化测试系统已为多省能源企业提供服务,助力用户应对网络威胁,提高系统安全性。
博智自动化渗透测试系统介绍
博智自动化渗透测试系统体系结构如图所示,系统主要由七部分组成,分别为渗透任务管控、目标网络资产测绘、渗透工具库、目标网络渗透链生成与管理、漏洞知识图谱、网络探测器和漏洞探测器。
网络探测器和漏洞探测器提供探测扫描能力,包括网络扫描、资产扫描、漏洞扫描、以及风险扫描等功能;网络资产测绘主要将扫描探测的网络资产数据关联聚合进行拓扑绘制,通过图形化的方式对网络的资产进行管理和展示。
目标网络渗透链生成与管理组件以知识图谱技术为依托,依据探测到目标网络拓扑和资产数据基于漏洞知识图谱自动绘制生成以漏洞为核心的目标网络渗透知识图谱。综合借鉴多元统计分析、渗透图等技术,运用各种不同的渗透策略和手段,整合测试技术和方法,生成目标网络的各种可能渗透路径,结合被测目标属性信息等,形成渗透图,支撑渗透任务管控组件执行自动化渗透测试任务,从而检验测试目标的安全性和抗渗透能力。
博智自动化渗透测试实施过程
步骤1:创建渗透测试任务,对指定目标区域使用拓扑探测、资产发现、端口扫描、漏洞扫描等方式,收集网络资产的服务端口、访问IP、应用版本、设备版本、操作系统版本、漏洞等信息,并绘制网络资产拓扑,为下一步的渗透做好准备。
步骤2:在测绘完成并显示的网络拓扑中,分为上下两层,上层是目标网络拓扑,下层是目标网络中存在的漏洞,上下联动关联显示。对应目标主机的渗透链在探测完成后自动机计算生成,并直观显示。可对所有的渗透链进行逐条验证。
步骤3:选择目标主机设定渗透意图创建渗透任务并执行。
步骤4:针对设定的渗透意图自动选择渗透链智能化执行渗透,整个过程直观可视化呈现,能够直观看到渗透路径、利用的漏洞以及渗透收益。
博智自动化渗透测试系统特点
博智自动化渗透测试系统是一种基于漏洞知识图谱结合AI智能化模型构建的系统,模拟渗透者渗透目标系统的过程,以发现目标系统中的安全漏洞。其主要功能包括自动发现目标系统中的漏洞,执行漏洞利用,生成报告以及提供建议和指导。
博智自动化渗透测试系统的价值在于它可以帮助企业或组织及时发现和修复安全漏洞,提高系统的安全性和稳定性。自动化渗透测试系统能够快速、准确地发现系统中的漏洞,同时也能够对不同类型的漏洞进行深度分析和评估。这使得企业或组织能够更好地了解其系统中的安全状况,并采取有效的措施加强安全。帮助企业或组织降低安全风险,减少可能的数据泄露和隐私侵犯。它可以模拟各种渗透场景,包括网络渗透、应用程序渗透、社会工程学渗透等,并提供必要的指导和建议,帮助企业或组织避免可能的安全漏洞和风险。
