滲透測試智能化對于5G的安全有什么幫助

時(shí)間：2020-05-11 11:00:01

關(guān)鍵字： 5G 智能化測試 CK

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] 隨著云計(jì)算、大數(shù)據(jù)、5G等技術(shù)的發(fā)展，全球電信網(wǎng)朝著用戶個(gè)性化需求不斷增強(qiáng)，業(yè)務(wù)類型不斷拓展的方向邁進(jìn)。用戶需求和監(jiān)管要求，都給網(wǎng)絡(luò)安全帶來了越發(fā)嚴(yán)峻的挑戰(zhàn)。打造安全的移動(dòng)網(wǎng)絡(luò)，就必須

隨著云計(jì)算、大數(shù)據(jù)、5G等技術(shù)的發(fā)展，全球電信網(wǎng)朝著用戶個(gè)性化需求不斷增強(qiáng)，業(yè)務(wù)類型不斷拓展的方向邁進(jìn)。用戶需求和監(jiān)管要求，都給網(wǎng)絡(luò)安全帶來了越發(fā)嚴(yán)峻的挑戰(zhàn)。

打造安全的移動(dòng)網(wǎng)絡(luò)，就必須確保軟件版本安全。正式軟件版本發(fā)布前的安全檢測，特別是基于攻防模式演練的滲透測試，是產(chǎn)品正式部署前一道必不可少的保護(hù)屏障。

滲透測試常見挑戰(zhàn)

在滲透測試流程中，信息收集、漏洞探測、漏洞利用、橫向滲透等眾多步驟是以白帽子/專業(yè)安全測試人員采用手工方式進(jìn)行，測試效果過于依賴個(gè)人的安全技能水平。

未來的攻擊勢必更加靈活多變，并且會(huì)利用新漏洞和新方法發(fā)起攻擊行為。在這種情況下，原有的滲透測試方法和機(jī)制往往難以有效應(yīng)對：一是過于依賴人工手動(dòng)執(zhí)行，測試效率低，滲透測試工具繁多不便于有效維護(hù)；二是測試人員無法聚焦和把控業(yè)界最新的安全技術(shù)。

智能化滲透助力產(chǎn)品安全

圖1 uSmartPen平臺(tái)

中興通訊uSmartPen實(shí)現(xiàn)滲透測試的工具整合和流程固化，實(shí)現(xiàn)了測試規(guī)劃設(shè)計(jì)、部署和執(zhí)行的自動(dòng)化。如圖1所示，其主要組件如下：

l滲透設(shè)計(jì)工具：根據(jù)滲透測試相關(guān)的范圍和目標(biāo)，匯總云平臺(tái)、MANO、VNF以及測試工具等部署所需配置參數(shù)和資源要求，自動(dòng)生成測試場景所需組件實(shí)例化參數(shù)文件；l自動(dòng)化測試編排工具Fishbone：接收設(shè)計(jì)工具生成的實(shí)例化參數(shù)文件，完成硬件、云平臺(tái)、MANO、VNF以及測試工具的部署資源準(zhǔn)備；l智能測試學(xué)習(xí)平臺(tái)（uSmartTest）：在相關(guān)資源到位，所有組件完成部署后，通過之前定制測試工具對目標(biāo)進(jìn)行指定范圍的滲透測試，并且使用xSE智能理解引擎和推理引擎迭代更新滲透測試的模型，完成自動(dòng)化滲透測試和模型迭代的雙重目標(biāo)。

自動(dòng)化測試編排工具Fishbone

如圖2所示，F(xiàn)ishbone以魚骨圖的形式，將滲透各步驟實(shí)施分割組合，完成具體步驟個(gè)性定制，實(shí)現(xiàn)滲透測試的自動(dòng)化編排。

圖2 Fishbone滲透測試編排

首先，將滲透測試的相關(guān)子步驟分拆，將信息收集、漏洞探測、漏洞利用、橫向移動(dòng)等四個(gè)步驟作為可配置步驟獨(dú)立呈現(xiàn)。

其次，產(chǎn)品編排滲透測試時(shí)可以根據(jù)各自不同的特殊需求、目標(biāo)以及使用的工具對各子步驟做個(gè)性化定制。比如，有些用戶聚焦于目標(biāo)系統(tǒng)本身的安全性而不關(guān)心目標(biāo)所在網(wǎng)絡(luò)的其余系統(tǒng)的安全狀態(tài)，完全可以取消橫向移動(dòng)這一步驟。同樣地，有些云服務(wù)用戶專注于APP層面，無需關(guān)心硬件或者操作系統(tǒng)層面的安全威脅，就可以增加API級而取消底層系統(tǒng)級的滲透測試等。

最后，將定制的子步驟作為節(jié)點(diǎn)掛載到Fishbone自動(dòng)化框架上，由該框架完成滲透測試的串接和編排。

智能測試學(xué)習(xí)平臺(tái)（uSmartTest）

攻擊者視角的ATT&CK安全架構(gòu)

MITRE ATT&CK（Adversarial Tactics， Techniques， and Common Knowledge）是一個(gè)反映各類攻擊生命周期的行為模型和知識(shí)庫。ATT&CK對這些技術(shù)進(jìn)行枚舉和分類之后，能夠用于后續(xù)對攻擊者行為的“理解”。依據(jù)該安全框架，匹配安全需求選擇關(guān)鍵控制行為，對照ATT&CK模型排查當(dāng)前測試模型檢測能力，能否對這些行為有效覆蓋；再根據(jù)排查結(jié)果完善檢測能力；最后補(bǔ)充完善需要覆蓋的攻擊技術(shù)和戰(zhàn)術(shù)，建立自身的滲透測試模型。

為了緊跟業(yè)界前沿，采用最新技術(shù)進(jìn)行演練，中興通訊從基于風(fēng)險(xiǎn)的威脅模型著手，分析可能的入侵和不良影響；然后引入MITRE ATT&CK框架，從攻擊主體角度完善各種滲透測試戰(zhàn)術(shù)和工具，建立符合自身的滲透模型。

智能引擎實(shí)現(xiàn)測試模型優(yōu)化

中興通訊從威脅模型著手，分析入侵和影響，利用智能引擎xSE分析攻擊行為，推理攻擊鏈條，迭代優(yōu)化滲透測試模型。

首先使用ATT&CK在行為層進(jìn)行建模，充分利用威脅情報(bào)的TTP進(jìn)行知識(shí)共享；并在更宏觀的程度對攻擊者進(jìn)行畫像。下一步使用xSE智能引擎分析推理，將安全測試人員從具體的技術(shù)手段和指示器規(guī)則中解脫出來。

中興智能引擎xSE實(shí)現(xiàn)理解引擎和推理引擎合一：使用理解引擎將海量告警轉(zhuǎn)化為為相應(yīng)的攻擊行為，再使用推理引擎分析推導(dǎo)出這些攻擊造成的危害，并結(jié)合攻擊鏈進(jìn)行攻擊研判，快速迭代更新模型。

圖3 智能引擎xSE

總結(jié)

5G商用步伐加快，對產(chǎn)品的安全需求不斷提高。中興通訊立足于用戶需求和業(yè)界前沿，實(shí)現(xiàn)對滲透測試相關(guān)的設(shè)計(jì)、規(guī)劃、部署、執(zhí)行以及迭代更新的全流程自動(dòng)化，為網(wǎng)絡(luò)安全運(yùn)營提供全面高效支撐。