四維創(chuàng)智召開小智-智能滲透測試機器人新品發(fā)布會

8月22日，四維創(chuàng)智在BCS 2019北京網(wǎng)絡(luò)安全大會上發(fā)布智能安全領(lǐng)域新產(chǎn)品“小智-智能滲透測試機器人”。秉承“專研智能，智匯安全”，小智是四維創(chuàng)智基于傳統(tǒng)安全優(yōu)勢，布局“AI+網(wǎng)絡(luò)安全”智能自動化方向的重磅產(chǎn)品。自始，四維創(chuàng)智安全產(chǎn)品體系將實現(xiàn)全面升級。

發(fā)布會上，四維創(chuàng)智CEO司紅星通過回顧公司發(fā)展歷程，闡述了多年來安全服務(wù)過程中所發(fā)現(xiàn)的安全工具的局限性和企業(yè)安全建設(shè)中亟待解決的根本性問題。從而，深入淺出的向我們展示小智利用AI技術(shù)，如何實現(xiàn)其業(yè)務(wù)價值。四維創(chuàng)智給他的定位是“一款可以自學(xué)習(xí)、自成長、自決策的AI滲透測試機器人。”

AI賦能，一個“中級滲透測試人員”的誕生

作為國內(nèi)率先實現(xiàn)“AI+網(wǎng)絡(luò)安全檢測”的智能滲透測試機器人。小智可以將白帽子在大量滲透過程中積累的實戰(zhàn)經(jīng)驗轉(zhuǎn)化為機器可存儲、可識別、可處理的結(jié)構(gòu)化經(jīng)驗，并且在自動化測試過程中借助人工智能專家經(jīng)驗不斷進行“智力”成長和邏輯推理決策，以貼近實際人工滲透的方式，對給定目標進行從信息收集到漏洞利用的完整測試過程。主動發(fā)現(xiàn)信息化系統(tǒng)的風(fēng)險點，并實時展現(xiàn)滲透決策路徑、輸出結(jié)果，“小智”打破傳統(tǒng)網(wǎng)絡(luò)安全檢測平臺針對威脅利用的單一性和不連貫性，在測試過程中注重多個風(fēng)險點之間的關(guān)聯(lián)利用，支持對目標的持續(xù)性安全檢測，提供輔助滲透測試和安全隱患的解決方案，降低人工成本。

AI技術(shù)的成功應(yīng)用是其核心。該產(chǎn)品創(chuàng)造性的運用大量AI技術(shù)來實現(xiàn)滲透測試各個環(huán)節(jié)點的優(yōu)化，提升滲透測試的整體效果。通過知識圖譜技術(shù)，將概念上互相獨立的系統(tǒng)頁面特征、流量特征與特定漏洞以“實體-關(guān)系-實體”或“實體-屬性-屬性值”的三元組關(guān)系進行結(jié)構(gòu)化的存儲，建立起頁面特征、流量帖子和特定漏洞之間的關(guān)聯(lián)關(guān)系，并對實體間的關(guān)聯(lián)關(guān)系進行形象化的展示，完成對大規(guī)模非固定結(jié)構(gòu)滲透數(shù)據(jù)的高效存儲和快速檢索;同時有助于對漏洞進行關(guān)聯(lián)分析，最終實現(xiàn)對滲透路徑的預(yù)測。并通過機器學(xué)習(xí)手段，大量訓(xùn)練特定漏洞(如上傳漏洞、驗證碼識別)的探測與利用方法，解決這些漏洞無法通過傳統(tǒng)手段檢測的問題。

除此之外，小智還基于網(wǎng)絡(luò)安全專業(yè)技術(shù)人員在信息收集、工具選擇、單一漏洞掃描、邏輯漏洞檢測、組合漏洞利用等漏洞挖掘方面的技術(shù)經(jīng)驗，構(gòu)建“專家系統(tǒng)”，建立多個漏洞組合利用模型，達到中高級專業(yè)黑客水平的自動化滲透測試，并能根據(jù)推理系統(tǒng)組合多種漏洞進行深度漏洞探測。

一次性解決企業(yè)面臨的兩大核心問題

小智提供針對企業(yè)安全工具以及人才的兩大方面助力。

工具方面，該產(chǎn)品是一個具備邏輯思維的滲透測試機器人，節(jié)約時間成本和滲透測試結(jié)果精準度。小智的“機器人”屬性，可以實現(xiàn)滲透測試過程的自動化，完成基礎(chǔ)的滲透測試任務(wù)，使團隊安全人員更專注于新技術(shù)研究和技能提升。并且通過四維創(chuàng)智設(shè)計的DPL決策規(guī)劃語言，將安全人員經(jīng)驗得以存儲和轉(zhuǎn)化，隨著經(jīng)驗增加，小智也隨之共同成長，成為具象化的可存儲的經(jīng)驗庫，并作用于日常滲透測試工作;小智還能夠解決傳統(tǒng)安全檢測產(chǎn)品的誤報、漏報問題，并通過漏洞組合利用，對發(fā)現(xiàn)的特定問題繼續(xù)深度分析、利用和關(guān)聯(lián)，使企業(yè)不再擁有一個工具，而是一個不眠不休的安全管家。

人才培養(yǎng)方面，該產(chǎn)品是一本動態(tài)生成的電子教科書。小智特有的基于知識圖譜的滲透測試路徑繪制，將滲透過程清晰的展現(xiàn)出來，變成教科書式案例供初級安全人員學(xué)習(xí)，大大降低企業(yè)人員培養(yǎng)的時間成本，提升人才孵化效率，使初級安全人員能夠系統(tǒng)學(xué)習(xí)，快速成長。

專注智能安全，共享安全未來

四維創(chuàng)智在國家重點行業(yè)單位的項目檢測經(jīng)驗為產(chǎn)品提供了實踐基礎(chǔ)和功能上的反復(fù)”打磨“。“智能”一直是四維創(chuàng)智努力的方向，目前在該領(lǐng)域已擁有成熟的自動化滲透測試產(chǎn)品——天象綜合滲透測試平臺，是國內(nèi)首款實現(xiàn)了安全檢測工具智能模塊化的應(yīng)用型檢測工具。從開始的自動化滲透測試的探索和企業(yè)實踐，到最終形成這樣一套具備“邏輯思維”的滲透測試機器人，不斷探索前行。我們遵循現(xiàn)有的智能安全發(fā)展思路，下一步將在威脅特征多樣性處理、多環(huán)節(jié)跨平臺自動流程化、跨領(lǐng)域知識庫自我學(xué)習(xí)系統(tǒng)化方向上進行實踐，以達到威脅探測+威脅感知+阻斷攔截+端點響應(yīng)的安全閉環(huán)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。