“此次我们发布的自动化渗透测试系统代号‘加特林’，具备射速快、火力猛、威力大，能够快速、精准帮助客户发现黑客可能利用的漏洞和攻击方法，提早发现安全防御体系的弱点和盲区，全面掌握网络和应用系统的安全状况和防御水平。”8月12日北京网络安全大会期间，奇安信正式发布新版自动化渗透测试系统，产品负责人如是表示。

攻防水平难以有效衡量

目前而言，面对日趋严峻的网络安全形势，常态化的实战攻防演习已经成为检验网络安全防护水平、提升从业人员安全意识和实战技能水平的最佳实践方式。奇安信专家认为，随着实战攻防演习的大规模开展，大量政企机构在渗透测试过程中，面临着知己和知彼两方面的困难。

在知彼方面，政企机构通常会通过组织红蓝对抗实网攻防，希望能提前发现黑客的攻击方法和可能利用的漏洞。但通常而言，活动难组织，攻击队难协调，参演人员水平参差不齐等困难，往往使工作成果和价值很难量化与体现。

在知己方面，政企机构可以通过风险评估代码审计等手段，掌握自身应用系统的脆弱性和残余风险，但对于自身安全防御体系能否有效发现并应对那些通过社工、抵近甚至0day漏洞的攻击利用行为，在实践过程中仍然问题多多。

告别“手工作坊”，奇安信新版“加特林”三大价值

为解决上述痛点，奇安信网神自动化渗透测试系统，在学习总结奇安信攻击队的多年实战攻防经验基础上，自主研发了高级漏洞利用框架以及大量漏洞利用插件，通过自动化完成信息搜集、社会工程、漏洞利用、权限提升、持续控制、横向渗透等渗透测试全过程，将传统“手工作坊”式的渗透测试转变为自动化标准化可量化的渗透测试体系。同时，此次发布的新版本，还加入了自动化入侵模拟功能，通过自动化渗透测试能力，模拟系统遭遇入侵时的各种场景，协助客户有效检验安全防御体系的有效性。

据产品负责人介绍，奇安信网神自动化渗透测试系统的优势主要体现在以下三个方面：

第一，具备强大的漏洞利用能力。奇安信旗下补天漏洞响应平台共计报告漏洞数量超过60万个，覆盖业内所有主流漏洞;同时基于自主漏洞挖掘能力和攻击利用插件研发能力，系统整合了超过5500个漏洞验证插件，500多个自动化利用插件，能够精准识别各类安全漏洞，帮助客户精准掌握可能面临的漏洞攻击种类、系统的漏洞情况和安全防护水平。

第二，具备强大的持续渗透能力。奇安信网神自动化渗透测试系统能够提供分布式漏洞利用环境、“GTShell”反弹shell管理平台、“GTWebshell”远程Webshell管理平台、“GTSession”可扩展后渗透平台以及“GTAgent ”自研命令与控制(C2)平台，帮助渗透测试人员对系统开展持续的渗透，全方面检测系统的安全水平。

第三，国内第一个基于真实攻击技术的入侵模拟系统。与其他入侵模拟系统不同，奇安信网神自动化渗透测试系统，不只是简单通过下载或发送恶意载荷、访问恶意IOC等方式来模拟入侵行为，而是基于自动化渗透测试框架，真实执行各类渗透测试动作，并且过程高度自动化，有效助力政企客户对自身安全防御系统进行深层次的效能评估。

据产品负责人表示，作为公司内部长期使用的渗透测试工具，奇安信自动化渗透测试系统已经成功在金融、能源、运营商等大型客户中广泛应用，并在未来不断探索更多的领域，帮助用户更好提升实战化水平，成为攻防渗透的利器。

来源：北国网

免责声明：本文来源于网络，仅代表作者本人观点，与TechWeb无关。凡来源非TechWeb的新闻（作品）只代表本网传播该消息，并不代表赞同其观点。TechWeb对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任