滲透測試可以讓企業(yè)了解現(xiàn)有安全措施的成效或不足，進(jìn)而幫助其調(diào)整安全項(xiàng)目，并主動發(fā)現(xiàn)漏洞。雖然大多數(shù)企業(yè)熟悉并進(jìn)行手動滲透測試，但近年來自動滲透測試成為一種備受關(guān)注的選擇。自動滲透測試與手動滲透測試孰優(yōu)孰劣?不妨比較一下各自的優(yōu)缺點(diǎn)。

手動滲透測試的優(yōu)缺點(diǎn)

手動滲透測試的最大優(yōu)點(diǎn)是靈活，它更有可能發(fā)現(xiàn)和應(yīng)對測試系統(tǒng)中的漏洞。手動滲透測試可以發(fā)現(xiàn)自動測試可能未發(fā)現(xiàn)的更狡猾漏洞和攻擊，比如盲SQL注入攻擊、邏輯缺陷和訪問控制漏洞。訓(xùn)練有素的專業(yè)人員可以在手動滲透測試中分析應(yīng)用程序?qū)Υ祟惞舻捻憫?yīng)，可以捕捉到自動測試軟件認(rèn)為沒問題，但實(shí)際上有問題的響應(yīng)。

手動滲透測試的另一個(gè)優(yōu)點(diǎn)是專家隨時(shí)審查報(bào)告。雖然自動滲透測試工具也會生成報(bào)告，但安全分析員仍然要審查和修復(fù)發(fā)現(xiàn)的許多問題。手動滲透測試還可以在尋找漏洞時(shí)更靈活。Enterprise Strategy Group分析師Jon Oltsik說：“優(yōu)秀的滲透測試人員會運(yùn)用直覺，并根據(jù)結(jié)果，選擇朝出人意料的方向進(jìn)行測試。”一些滲透測試也只能手動執(zhí)行。例如，當(dāng)企業(yè)想要分析防范社會工程攻擊的情況，就需要手動滲透測試，測試有無語音釣魚攻擊時(shí)更是如此。

手動滲透測試的最大缺點(diǎn)是成本和時(shí)間。滲透測試付出的成本和時(shí)間以其徹底程度而定，有時(shí)可能需要數(shù)周時(shí)間才能獲得結(jié)果，這并不總是盡如人意，在處理嚴(yán)重漏洞時(shí)更是如此。手動滲透測試也可能很燒錢，這就是為什么許多企業(yè)執(zhí)行這種測試只是為了滿足合規(guī)和監(jiān)管要求。如果企業(yè)沒錢設(shè)立內(nèi)部紅隊(duì)或滲透測試團(tuán)隊(duì)，會選擇第三方服務(wù)提供商用于滿足測試需求，這是另一項(xiàng)成本。

自動滲透測試的優(yōu)缺點(diǎn)

手動滲透測試既復(fù)雜又燒錢，因此許多企業(yè)不常進(jìn)行測試。自動測試成本較低、更容易進(jìn)行，可能會改變這種局面。Gartner分析師Mitchell Schneider說：“組織有興趣進(jìn)行更頻繁的測試。我們從自動滲透測試工具中看到的好處之一是，它使這類測試更頻繁了。企業(yè)希望及時(shí)消除相關(guān)的風(fēng)險(xiǎn)和威脅，而不是等待安排測試。”

自動滲透測試的另一個(gè)好處是，它為安全分析師節(jié)省了時(shí)間，使他們可以專注于測試期間可能被耽擱的其他任務(wù)。自動化還可以處理重復(fù)性任務(wù)，這些任務(wù)不一定復(fù)雜，但手動處理起來很耗時(shí)。頻繁的自動滲透測試還可以幫助企業(yè)評估全部計(jì)算機(jī)系統(tǒng)——這些系統(tǒng)的更新比測試來得更頻繁，比如在快速發(fā)布周期期間內(nèi)。Forrester Research分析師Jeff Pollard說：“需要自動測試才能真實(shí)了解環(huán)境。”

自動滲透測試的一個(gè)潛在缺點(diǎn)是分析師仍將其視為新興市場。Oltsik說：“獨(dú)立的自動測試工具在過去幾年不斷改進(jìn)。隨著風(fēng)險(xiǎn)資金繼續(xù)投入，這個(gè)創(chuàng)新市場在不斷壯大。”它的另一個(gè)缺點(diǎn)是測試結(jié)果取決于滲透測試工具本身的好壞以及用戶的知識水平。Oltsik說：“人是自動測試的累贅。軟件效果完全取決于人的知識庫。針對漏洞，用戶一定要會某些策略和技術(shù)。”如果滲透測試軟件開發(fā)人員沒有盡到本職工作，自動滲透測試就有缺陷，可能會錯(cuò)漏關(guān)鍵問題。

一些人還擔(dān)心自動工具可能取代滲透測試人員，但Oltsik表示情況未必如此。他說：“自動測試有可能變得很出色，也許只需要監(jiān)督員和審計(jì)員來管理自動化測試就可以完成相關(guān)工作，但這種局面不會很快出現(xiàn)。”此外，自動滲透測試在功能上依然有限，無法面向各種測試場景進(jìn)行部署。大多數(shù)工具不支持面向無線網(wǎng)絡(luò)、Web應(yīng)用程序和社會工程攻擊進(jìn)行滲透測試。

手動自動相結(jié)合使用

在實(shí)際工作中，企業(yè)在選擇滲透測試方式時(shí)，往往不是二選一的問題。相反，自動滲透測試工具應(yīng)該輔助手動滲透測試工作。Schneide表示，自動滲透測試工具并不完全適用于所有類型的滲透測試。至少在接下來幾年，它們不會完全取代滲透測試人員或紅隊(duì)。自動化還帶來了滲透測試即服務(wù)(PTaaS)的發(fā)展潮流。NetSPI、Cobalt和Pentest People等供應(yīng)商已經(jīng)提供一些服務(wù)。PTaaS產(chǎn)品結(jié)合了手動滲透測試和自動滲透測試，通過兩者的結(jié)合使用，企業(yè)更容易完成特定的滲透測試工作，例如滿足合規(guī)或監(jiān)管要求等。

參考鏈接：

https://www.techtarget.com/searchsecurity/feature/Pros-and-cons-of-manual-vs-automated-penetration-testing