隨著云計算、大數(shù)據(jù)、5G等技術的發(fā)展，全球電信網(wǎng)朝著用戶個性化需求不斷增強，業(yè)務類型不斷拓展的方向邁進。用戶需求和監(jiān)管要求，都給網(wǎng)絡安全帶來了越發(fā)嚴峻的挑戰(zhàn)。

打造安全的移動網(wǎng)絡，就必須確保軟件版本安全。正式軟件版本發(fā)布前的安全檢測，特別是基于攻防模式演練的滲透測試，是產(chǎn)品正式部署前一道必不可少的保護屏障。

滲透測試常見挑戰(zhàn)

在滲透測試流程中，信息收集、漏洞探測、漏洞利用、橫向滲透等眾多步驟是以白帽子/專業(yè)安全測試人員采用手工方式進行，測試效果過于依賴個人的安全技能水平。

未來的攻擊勢必更加靈活多變，并且會利用新漏洞和新方法發(fā)起攻擊行為。在這種情況下，原有的滲透測試方法和機制往往難以有效應對：一是過于依賴人工手動執(zhí)行，測試效率低，滲透測試工具繁多不便于有效維護；二是測試人員無法聚焦和把控業(yè)界最新的安全技術。

智能化滲透助力產(chǎn)品安全

圖1 uSmartPen平臺

中興通訊uSmartPen實現(xiàn)滲透測試的工具整合和流程固化，實現(xiàn)了測試規(guī)劃設計、部署和執(zhí)行的自動化。如圖1所示，其主要組件如下：

l滲透設計工具：根據(jù)滲透測試相關的范圍和目標，匯總云平臺、MANO、VNF以及測試工具等部署所需配置參數(shù)和資源要求，自動生成測試場景所需組件實例化參數(shù)文件；l自動化測試編排工具Fishbone：接收設計工具生成的實例化參數(shù)文件，完成硬件、云平臺、MANO、VNF以及測試工具的部署資源準備；l智能測試學習平臺（uSmartTest）：在相關資源到位，所有組件完成部署后，通過之前定制測試工具對目標進行指定范圍的滲透測試，并且使用xSE智能理解引擎和推理引擎迭代更新滲透測試的模型，完成自動化滲透測試和模型迭代的雙重目標。

自動化測試編排工具Fishbone

如圖2所示，F(xiàn)ishbone以魚骨圖的形式，將滲透各步驟實施分割組合，完成具體步驟個性定制，實現(xiàn)滲透測試的自動化編排。

圖2 Fishbone滲透測試編排

首先，將滲透測試的相關子步驟分拆，將信息收集、漏洞探測、漏洞利用、橫向移動等四個步驟作為可配置步驟獨立呈現(xiàn)。

其次，產(chǎn)品編排滲透測試時可以根據(jù)各自不同的特殊需求、目標以及使用的工具對各子步驟做個性化定制。比如，有些用戶聚焦于目標系統(tǒng)本身的安全性而不關心目標所在網(wǎng)絡的其余系統(tǒng)的安全狀態(tài)，完全可以取消橫向移動這一步驟。同樣地，有些云服務用戶專注于APP層面，無需關心硬件或者操作系統(tǒng)層面的安全威脅，就可以增加API級而取消底層系統(tǒng)級的滲透測試等。

最后，將定制的子步驟作為節(jié)點掛載到Fishbone自動化框架上，由該框架完成滲透測試的串接和編排。

智能測試學習平臺（uSmartTest）

攻擊者視角的ATT&CK安全架構

MITRE ATT&CK（Adversarial Tactics， Techniques， and Common Knowledge）是一個反映各類攻擊生命周期的行為模型和知識庫。ATT&CK對這些技術進行枚舉和分類之后，能夠用于后續(xù)對攻擊者行為的“理解”。 依據(jù)該安全框架，匹配安全需求選擇關鍵控制行為，對照ATT&CK模型排查當前測試模型檢測能力，能否對這些行為有效覆蓋；再根據(jù)排查結果完善檢測能力；最后補充完善需要覆蓋的攻擊技術和戰(zhàn)術，建立自身的滲透測試模型。

為了緊跟業(yè)界前沿，采用最新技術進行演練，中興通訊從基于風險的威脅模型著手，分析可能的入侵和不良影響；然后引入MITRE ATT&CK框架，從攻擊主體角度完善各種滲透測試戰(zhàn)術和工具，建立符合自身的滲透模型。

智能引擎實現(xiàn)測試模型優(yōu)化

中興通訊從威脅模型著手，分析入侵和影響，利用智能引擎xSE分析攻擊行為，推理攻擊鏈條，迭代優(yōu)化滲透測試模型。

首先使用ATT&CK在行為層進行建模，充分利用威脅情報的TTP進行知識共享；并在更宏觀的程度對攻擊者進行畫像。下一步使用xSE智能引擎分析推理，將安全測試人員從具體的技術手段和指示器規(guī)則中解脫出來。

中興智能引擎xSE實現(xiàn)理解引擎和推理引擎合一：使用理解引擎將海量告警轉化為為相應的攻擊行為，再使用推理引擎分析推導出這些攻擊造成的危害，并結合攻擊鏈進行攻擊研判，快速迭代更新模型。

圖3 智能引擎xSE

總結

5G商用步伐加快，對產(chǎn)品的安全需求不斷提高。中興通訊立足于用戶需求和業(yè)界前沿，實現(xiàn)對滲透測試相關的設計、規(guī)劃、部署、執(zhí)行以及迭代更新的全流程自動化，為網(wǎng)絡安全運營提供全面高效支撐。

責任編輯：gt