隨著云計(jì)算、大數(shù)據(jù)、5G等技術(shù)的發(fā)展，全球電信網(wǎng)朝著用戶個(gè)性化需求不斷增強(qiáng)，業(yè)務(wù)類型不斷拓展的方向邁進(jìn)。用戶需求和監(jiān)管要求，都給網(wǎng)絡(luò)安全帶來了越發(fā)嚴(yán)峻的挑戰(zhàn)。

打造安全的移動(dòng)網(wǎng)絡(luò)，就必須確保軟件版本安全。正式軟件版本發(fā)布前的安全檢測(cè)，特別是基于攻防模式演練的滲透測(cè)試，是產(chǎn)品正式部署前一道必不可少的保護(hù)屏障。

滲透測(cè)試常見挑戰(zhàn)

在滲透測(cè)試流程中，信息收集、漏洞探測(cè)、漏洞利用、橫向滲透等眾多步驟是以白帽子/專業(yè)安全測(cè)試人員采用手工方式進(jìn)行，測(cè)試效果過于依賴個(gè)人的安全技能水平。

未來的攻擊勢(shì)必更加靈活多變，并且會(huì)利用新漏洞和新方法發(fā)起攻擊行為。在這種情況下，原有的滲透測(cè)試方法和機(jī)制往往難以有效應(yīng)對(duì)：一是過于依賴人工手動(dòng)執(zhí)行，測(cè)試效率低，滲透測(cè)試工具繁多不便于有效維護(hù)；二是測(cè)試人員無法聚焦和把控業(yè)界最新的安全技術(shù)。

智能化滲透助力產(chǎn)品安全

圖1 uSmartPen平臺(tái)

中興通訊uSmartPen實(shí)現(xiàn)滲透測(cè)試的工具整合和流程固化，實(shí)現(xiàn)了測(cè)試規(guī)劃設(shè)計(jì)、部署和執(zhí)行的自動(dòng)化。如圖1所示，其主要組件如下：

l滲透設(shè)計(jì)工具：根據(jù)滲透測(cè)試相關(guān)的范圍和目標(biāo)，匯總云平臺(tái)、MANO、VNF以及測(cè)試工具等部署所需配置參數(shù)和資源要求，自動(dòng)生成測(cè)試場(chǎng)景所需組件實(shí)例化參數(shù)文件；l自動(dòng)化測(cè)試編排工具Fishbone：接收設(shè)計(jì)工具生成的實(shí)例化參數(shù)文件，完成硬件、云平臺(tái)、MANO、VNF以及測(cè)試工具的部署資源準(zhǔn)備；l智能測(cè)試學(xué)習(xí)平臺(tái)（uSmartTest）：在相關(guān)資源到位，所有組件完成部署后，通過之前定制測(cè)試工具對(duì)目標(biāo)進(jìn)行指定范圍的滲透測(cè)試，并且使用xSE智能理解引擎和推理引擎迭代更新滲透測(cè)試的模型，完成自動(dòng)化滲透測(cè)試和模型迭代的雙重目標(biāo)。

自動(dòng)化測(cè)試編排工具Fishbone

如圖2所示，F(xiàn)ishbone以魚骨圖的形式，將滲透各步驟實(shí)施分割組合，完成具體步驟個(gè)性定制，實(shí)現(xiàn)滲透測(cè)試的自動(dòng)化編排。

圖2 Fishbone滲透測(cè)試編排

首先，將滲透測(cè)試的相關(guān)子步驟分拆，將信息收集、漏洞探測(cè)、漏洞利用、橫向移動(dòng)等四個(gè)步驟作為可配置步驟獨(dú)立呈現(xiàn)。

其次，產(chǎn)品編排滲透測(cè)試時(shí)可以根據(jù)各自不同的特殊需求、目標(biāo)以及使用的工具對(duì)各子步驟做個(gè)性化定制。比如，有些用戶聚焦于目標(biāo)系統(tǒng)本身的安全性而不關(guān)心目標(biāo)所在網(wǎng)絡(luò)的其余系統(tǒng)的安全狀態(tài)，完全可以取消橫向移動(dòng)這一步驟。同樣地，有些云服務(wù)用戶專注于APP層面，無需關(guān)心硬件或者操作系統(tǒng)層面的安全威脅，就可以增加API級(jí)而取消底層系統(tǒng)級(jí)的滲透測(cè)試等。

最后，將定制的子步驟作為節(jié)點(diǎn)掛載到Fishbone自動(dòng)化框架上，由該框架完成滲透測(cè)試的串接和編排。

智能測(cè)試學(xué)習(xí)平臺(tái)（uSmartTest）

攻擊者視角的ATT&CK安全架構(gòu)

MITRE ATT&CK（Adversarial Tactics， Techniques， and Common Knowledge）是一個(gè)反映各類攻擊生命周期的行為模型和知識(shí)庫。ATT&CK對(duì)這些技術(shù)進(jìn)行枚舉和分類之后，能夠用于后續(xù)對(duì)攻擊者行為的“理解”。 依據(jù)該安全框架，匹配安全需求選擇關(guān)鍵控制行為，對(duì)照ATT&CK模型排查當(dāng)前測(cè)試模型檢測(cè)能力，能否對(duì)這些行為有效覆蓋；再根據(jù)排查結(jié)果完善檢測(cè)能力；最后補(bǔ)充完善需要覆蓋的攻擊技術(shù)和戰(zhàn)術(shù)，建立自身的滲透測(cè)試模型。

為了緊跟業(yè)界前沿，采用最新技術(shù)進(jìn)行演練，中興通訊從基于風(fēng)險(xiǎn)的威脅模型著手，分析可能的入侵和不良影響；然后引入MITRE ATT&CK框架，從攻擊主體角度完善各種滲透測(cè)試戰(zhàn)術(shù)和工具，建立符合自身的滲透模型。

智能引擎實(shí)現(xiàn)測(cè)試模型優(yōu)化

中興通訊從威脅模型著手，分析入侵和影響，利用智能引擎xSE分析攻擊行為，推理攻擊鏈條，迭代優(yōu)化滲透測(cè)試模型。

首先使用ATT&CK在行為層進(jìn)行建模，充分利用威脅情報(bào)的TTP進(jìn)行知識(shí)共享；并在更宏觀的程度對(duì)攻擊者進(jìn)行畫像。下一步使用xSE智能引擎分析推理，將安全測(cè)試人員從具體的技術(shù)手段和指示器規(guī)則中解脫出來。

中興智能引擎xSE實(shí)現(xiàn)理解引擎和推理引擎合一：使用理解引擎將海量告警轉(zhuǎn)化為為相應(yīng)的攻擊行為，再使用推理引擎分析推導(dǎo)出這些攻擊造成的危害，并結(jié)合攻擊鏈進(jìn)行攻擊研判，快速迭代更新模型。

圖3 智能引擎xSE

總結(jié)

5G商用步伐加快，對(duì)產(chǎn)品的安全需求不斷提高。中興通訊立足于用戶需求和業(yè)界前沿，實(shí)現(xiàn)對(duì)滲透測(cè)試相關(guān)的設(shè)計(jì)、規(guī)劃、部署、執(zhí)行以及迭代更新的全流程自動(dòng)化，為網(wǎng)絡(luò)安全運(yùn)營(yíng)提供全面高效支撐。

責(zé)任編輯：gt