隨著云計算、大數據、5G等技術的發展，全球電信網朝著用戶個性化需求不斷增強，業務類型不斷拓展的方向邁進。用戶需求和監管要求，都給網絡安全帶來了越發嚴峻的挑戰。

打造安全的移動網絡，就必須確保軟件版本安全。正式軟件版本發布前的安全檢測，特別是基于攻防模式演練的滲透測試，是產品正式部署前一道必不可少的保護屏障。

滲透測試常見挑戰

在滲透測試流程中，信息收集、漏洞探測、漏洞利用、橫向滲透等眾多步驟是以白帽子/專業安全測試人員采用手工方式進行，測試效果過于依賴個人的安全技能水平。

未來的攻擊勢必更加靈活多變，并且會利用新漏洞和新方法發起攻擊行為。在這種情況下，原有的滲透測試方法和機制往往難以有效應對：一是過于依賴人工手動執行，測試效率低，滲透測試工具繁多不便于有效維護；二是測試人員無法聚焦和把控業界最新的安全技術。

智能化滲透助力產品安全

圖1 uSmartPen平臺

中興通訊uSmartPen實現滲透測試的工具整合和流程固化，實現了測試規劃設計、部署和執行的自動化。如圖1所示，其主要組件如下：

l滲透設計工具：根據滲透測試相關的范圍和目標，匯總云平臺、MANO、VNF以及測試工具等部署所需配置參數和資源要求，自動生成測試場景所需組件實例化參數文件；l自動化測試編排工具Fishbone：接收設計工具生成的實例化參數文件，完成硬件、云平臺、MANO、VNF以及測試工具的部署資源準備；l智能測試學習平臺（uSmartTest）：在相關資源到位，所有組件完成部署后，通過之前定制測試工具對目標進行指定范圍的滲透測試，并且使用xSE智能理解引擎和推理引擎迭代更新滲透測試的模型，完成自動化滲透測試和模型迭代的雙重目標。

自動化測試編排工具Fishbone

如圖2所示，Fishbone以魚骨圖的形式，將滲透各步驟實施分割組合，完成具體步驟個性定制，實現滲透測試的自動化編排。

圖2 Fishbone滲透測試編排

首先，將滲透測試的相關子步驟分拆，將信息收集、漏洞探測、漏洞利用、橫向移動等四個步驟作為可配置步驟獨立呈現。

其次，產品編排滲透測試時可以根據各自不同的特殊需求、目標以及使用的工具對各子步驟做個性化定制。比如，有些用戶聚焦于目標系統本身的安全性而不關心目標所在網絡的其余系統的安全狀態，完全可以取消橫向移動這一步驟。同樣地，有些云服務用戶專注于APP層面，無需關心硬件或者操作系統層面的安全威脅，就可以增加API級而取消底層系統級的滲透測試等。

最后，將定制的子步驟作為節點掛載到Fishbone自動化框架上，由該框架完成滲透測試的串接和編排。

智能測試學習平臺（uSmartTest）

攻擊者視角的ATT&CK安全架構

MITRE ATT&CK（Adversarial Tactics， Techniques， and Common Knowledge）是一個反映各類攻擊生命周期的行為模型和知識庫。ATT&CK對這些技術進行枚舉和分類之后，能夠用于后續對攻擊者行為的“理解”。 依據該安全框架，匹配安全需求選擇關鍵控制行為，對照ATT&CK模型排查當前測試模型檢測能力，能否對這些行為有效覆蓋；再根據排查結果完善檢測能力；最后補充完善需要覆蓋的攻擊技術和戰術，建立自身的滲透測試模型。

為了緊跟業界前沿，采用最新技術進行演練，中興通訊從基于風險的威脅模型著手，分析可能的入侵和不良影響；然后引入MITRE ATT&CK框架，從攻擊主體角度完善各種滲透測試戰術和工具，建立符合自身的滲透模型。

智能引擎實現測試模型優化

中興通訊從威脅模型著手，分析入侵和影響，利用智能引擎xSE分析攻擊行為，推理攻擊鏈條，迭代優化滲透測試模型。

首先使用ATT&CK在行為層進行建模，充分利用威脅情報的TTP進行知識共享；并在更宏觀的程度對攻擊者進行畫像。下一步使用xSE智能引擎分析推理，將安全測試人員從具體的技術手段和指示器規則中解脫出來。

中興智能引擎xSE實現理解引擎和推理引擎合一：使用理解引擎將海量告警轉化為為相應的攻擊行為，再使用推理引擎分析推導出這些攻擊造成的危害，并結合攻擊鏈進行攻擊研判，快速迭代更新模型。

圖3 智能引擎xSE

總結

5G商用步伐加快，對產品的安全需求不斷提高。中興通訊立足于用戶需求和業界前沿，實現對滲透測試相關的設計、規劃、部署、執行以及迭代更新的全流程自動化，為網絡安全運營提供全面高效支撐。

責任編輯：gt