标签: 人工智能安全

在开展渗透测试工作中,有一些非常经典的渗透测试框架,它们提供了一套标准化的测试指导方针和推荐工具,帮助测试者跨不同的网络和安全环境开展更有效的渗透测试。尽管企业组织也可以自行构建测试框架,但是在大多数情况下,如果不依靠成熟的渗透测试框架来规范测试流程、测试工具和战术方法,企业的渗透测试工作可能很难取得成功。对于渗透测试工作来说,可重复性、可扩展性以及可持续性非常重要,特别是随着组织信息化应用和网络攻击面的增长,借助渗透测试框架能够最大程度消除渗透测试过程中的风险猜测和经验性决策,使测试人员能够专注于提升测试的质量和效果,同时进行安全风险的发现和研究。测试框架原理和步骤 渗透测试框架的工作原理是指导渗透测试人员使用正确的工具和方法进行渗透测试,具体取决于计划进行的渗透测试类型和测试范围。一旦渗透测试人员开始启动渗透测试和白帽黑客攻击活动,他们应该参照渗透测试框架,以评估他们在测试过程中需要使用的战术类别和效果。完成渗透测试后,渗透测试人员应继续使用框架来进一步评估和报告测试中的发现,特别是与主要战术类别相关的发现,将环境恢复到渗透测试之前的设置状态也很重要。不同的渗透测试框架工作方式略有不同,具体取决于使用者的主要测试需求,但大多数框架都遵循类似的测试步骤,帮助组织高效、全面地完成渗透测试流程,以下是渗透测试框架通常遵循的一些常见步骤:初始规划和准备:框架指导组织确定他们的渗透测试人员、将使用的渗透测试框架和方法、对测试和报告结果的期望、任何法律或合规要求,以及进行成功测试所需的任何工具或资源。 情报和信息收集:在渗透测试框架的开发和选择过程中,应尽早收集的信息包括资产所有权范围、网络目标、漏洞利用、任何涉及的第三方、网络端口、IP地址、相关员工姓名和财产位置。在某些情况下,此阶段也称为发现、测试、扫描或评估阶段。 攻击阶段:渗透测试人员开始攻击,并根据框架预定义的战术类别评估系统的性能。 攻击后阶段:渗透测试人员或网络安全专家团队确保测试环境的资产和功能恢复到原始状态。 报告结果:测试框架用于根据所使用的工具和战术类别性能阐述结果。 框架中的战术类别和方法 典型的渗透测试框架都会明确列出渗透测试人员应使用的战术类别,以便在渗透测试过程中从多个方面评估网络安全性能。不过每个框架会使用自己特定的术语和方法来定义战术类别,以下是一些在渗透测试框架中最常见的战术类别:信息收集 命令和控制 凭证/信息访问 防御规避能力和策略 风险发现和信息收集 模拟攻击执行 泄露/窃取 横向移动 实现持久化驻留 权限提升 一般来说,渗透测试框架主要用于使渗透测试工作更加全面和有效,但是也会有一些不同的使用案例。以下是渗透测试框架的一些最常见使用方式:漏洞评估和管理; 实现主动网络安全防护的道德黑客活动; 防御性网络安全风险评估; 发现、探测和侦察; 安全缺陷和风险枚举; 网络安全和合规审计。 7款主流的渗透测试框架 借助成熟的渗透测试方法和框架,不仅可以大大简化测试工作的难度,而且会取得更好的测试效果。以下收集了7款目前最流行的渗透测试框架和方法,可以为企业组织更有效开展渗透测试工作提供帮助。1、Cobalt Strike Cobalt Strike是一种帮助安全红队指挥测试和操作的框架,也是目前最受企业欢迎的渗透测试框架之一。该框架全面包括了攻击模拟、事件响应指导和社会工程能力等。用户可以选择借助Community Kit仓库,对Cobalt Strike进行定制修改,还可以与Fortra提供的渗透测试软件Core Impact整合,进一步扩展其测试功能。传送门:https://www.cobaltstrike.com/。2、Metasploit Metasploit是一款由Rapid7和开源社区协作设计的渗透测试框架。它的一些典型功能特性包括1500个漏洞利用工具、网络发现、处理网络分段测试和自动化测试的元模块,并提供了基准审计报告、手动利用漏洞以及凭据蛮力破解等选项。用户可以选择免费的开源版Metasploit或功能更丰富的付费专业版。传送门:https://www.metasploit.com/。3、NIST Cybersecurity Framework NIST的网络安全框架(CSF)是一种测试功能选项非常广泛的渗透测试框架,专注于验证各种网络安全风险的标准、最佳实践和指导方针。该框架主要有五大功能:识别、保护、检测、响应和恢复。由于这是一种来自美国商务部的标准化测试框架,因此被全球很多企业用户作为了网络安全测试和合规审计的指导方针之一。传送门:https://www.nist.gov/cyberframework。4、开源安全测试方法手册(OSSTMM) OSSTMM框架是由美国安全和开放方法研究所(ISECOME)开发,它目前并不仅限于基本的测试功能,已变成了可用于广泛安全测试和分析的一套完整方法论。在其详细指南中,全面涵盖了测试的流程、战术和方法,还向用户提供了如何定义安全测试并确定范围、演练规则、错误处理和结果披露等方面的信息。传送门:https://www.isecom.org/OSSTMM.3.pdf。5、渗透测试执行标准(PTES) 渗透测试执行标准(PTES)是另一个非常受欢迎的渗透测试框架,目前已经发展成为一种完整的渗透测试方法论。该框架全面涵盖了渗透测试的沟通和基本原理、情报收集、威胁建模、漏洞研究、利用和攻击后阶段以及测试报告提交。尽管在目前版本的PTES指南中,并没有涉及如何进行渗透测试相关的讨论,但该团队已经开发了一个技术指南文档来补充支持这个方面的工作。PTES的第二个更新版目前正在制定中。传送门:http://www.pentest-standard.org/index.php/Main_Page。6、开放Web应用程序安全项目(OWASP) OWASP(全球开放应用软件安全项目组织)也推出了一款持续渗透测试框架,目前还处于测试应用状态,不过OWASP已为对该框架的正式发布和应用功能感兴趣的用户提供了明确的时间路线图。与其他框架的不同在于,OWASP渗透测试框架侧重于面向信息安全和应用程序安全渗透测试的标准、指导方针和工具。传送门:https://owasp.org/www-project-continuous-penetration-testing-framework/。7、渗透测试者框架(PTF) TrustedSec公司推出的PenTesters Framework(PTF)渗透测试框架在很大程度上基于Penetration Testing Execution Standard标准来执行。它旨在使相关测试工具的安装和打包更加简洁,因此也被认为是高度可定制和可配置的一款测试框架。用户可以通过Linux命令下载使用,或直接通过Git来下载安装。传送门:https://www.trustedsec.com/tools/pentesters-framework/。参考链接:https://www.esecurityplanet.com/networks/pentest-framework/。

当 AI 成为安全 “守护者”:智能化如何破解数据安全困局?

 2025年11月19日

在数字经济纵深发展的今天,数据已成为驱动产业升级的核心生产要素,但数据价值的爆发式增长也伴随着安全风险的指数级扩散。从 Facebook 超 5 亿用户数据泄露、万豪集团 3.83 亿客诉信息遭窃取等重大安全事件,到企业日常面临的勒索攻击、内部数据滥用,传统数据安全体系正遭遇前所未有的挑战。静态规则防护滞后于威胁变异、人工响应难以应对海量数据风险、合规压力与业务发展矛盾加剧,数据安全已从 “技术问...

 栏目: 文摘  Tagged: , , ,
安博通“鲁班”AI研究院成立开启智能安全新篇章

安博通“鲁班”AI研究院成立开启智能安全新篇章

 2025年3月25日

3月24日,安博通“鲁班”AI研究院成立仪式在上海举行。此次活动以“智聚创新·共启未来”为主题,众多行业专家、投资机构和专业媒体齐聚一堂,共同见证这一重要时刻。 近期,DeepSeek、Manus先后实现技术突破,引发全球对人工智能大模型的关注热潮。AI吹响了未来的号角,带来机遇的同时也带来了安全挑战。作为数字化安全领域的技术输出者,安博通提出“Fight AI with AI”,以“鲁班锁”的紧...

 栏目: 业界  Tagged: , , , ,

以AI防护AI:启明星辰MAF构建大模型智能安全防御体系

 2025年3月25日

让每一句人机对话都安全可信,让每一次智能交互都风险可控——这是属于AI时代的安全承诺。 —— 启明星辰 随着DeepSeek国运级大模型的开源和算力成本的持续下降,大语言模型技术正迅速从少数科技巨头的专利走向大众化应用,企业和个人现在都能以前所未有的低门槛部署和定制自己的大模型服务。然而,这种“大模型平民化”趋势也带来了前所未有的安全挑战:提示词注入、隐私泄露、恶意输出等针对模型的攻击手段层出不穷...

 栏目: 业界  Tagged: , , , , , ,
DeepSeek崛起下的AI安全隐忧

DeepSeek崛起下的AI安全隐忧

 2025年2月11日

近日,DeepSeek凭借其高性能、低成本的通用人工智能技术成为科技圈的“顶流”,不仅让更多大众群体了解了AI技术的潜力,也引发了人们对AI安全风险的广泛关注。人工智能技术虽然为各行各业带来了前所未有的便利与创新,但也衍生出一系列复杂且严峻的安全挑战。瑞星发布的《2024年中国网络安全报告》明确指出,AI技术的深度渗透正在重塑网络安全格局,其带来的风险横跨网络攻击、数据隐私、模型安全等多个关键维度...

 栏目: 文摘  Tagged: , , , ,
国家安全部:这种“特殊”网络技术服务涉嫌违法

黑客已经盯上了大模型!面对AI带来的安全风险,需要“用AI对抗AI”

 2024年5月30日

《科创板日报》5月29日讯(记者 黄心怡)ChatGPT的发布,在带动新一轮人工智能浪潮的同时,也驱动了网络攻击和网络犯罪的升级。 “过去,黑客生产一个攻击病毒需要数月时间,现在通过大模型工具可能几分钟就能生成,大大提高了攻击的效率。同时大模型对于编程语言的理解也非常强,攻击者可利用大模型迅速发现软件的漏洞。还有一波急功近利的黑客,利用AI的算法在视频中做人脸的深度伪造,产生了新一波网络诈骗犯罪的...

 栏目: 文摘  Tagged: , , , , , , , ,
“人工智能+安全”护航数字经济——第六十四期德胜门大讲堂在京举办

“人工智能+安全”护航数字经济——第六十四期德胜门大讲堂在京举办

 2024年4月30日

4月27日,以“‘人工智能+安全’护航数字经济”为主题的第六十四期德胜门大讲堂在京举行。本期大讲堂由全国工商联主办,全国工商联网络与数据安全委员会、商会发展服务中心、组织建设部承办,邀请主管部门、研究机构、算法、算力、数据等人工智能与安全产业链代表,围绕“人工智能+安全”前沿技术、创新思路和实践经验展开深入探讨。全国工商联党组成员、副主席汪鸿雁出席会议。 会议由全国工商联网络与数据安全委员会常务秘...

 栏目: 业界  Tagged: , , , , ,

【关注】人工智能时代呼唤网络安全治理升级

 2023年9月3日

8月28日至29日举办的首届网络空间安全(天津)高峰论坛上,近800位来自网络安全领域的官员、专家学者和科研机构、院校、企业代表齐聚一堂,共话网络空间安全形势、共享网络安全理念、共商网络安全对策。 随着人工智能的出现,网络信息技术迭代升级加速,网络安全领域新情况、新问题、新挑战层出不穷,影响全球经济格局、发展格局、安全格局,也给网络安全保障提出了更高要求。部分业内人士认为,应强化风险意识,建立有效...

 栏目: 文摘  Tagged: , , ,

警惕!黑客正通过机器人偷窥你,日本机器人酒店陷安全风波

 2019年10月29日

日前,日本旅行社巨头HIS集团因未能阻止黑客通过客房内机器人监视住客而道歉,该机器人摆放位置正对着床,这意味着黑客可以观察到住客在床上的一举一动。 机器人酒店受宠 2017年3月15日,HIS集团在日本关东地区首家机器人酒店——东京湾舞滨海茵娜酒店(変なホテル)隆重开业,吸引了络绎不绝的住客。该酒店位于东京迪士尼乐园所在的千叶县浦安市,是继位于长崎县佐世保市的大型度假村“豪斯登堡”之后,HIS集团...

 栏目: 业界  Tagged: , , ,

腾讯发现特斯拉三大漏洞,马斯克赞扬:工作扎实

 2019年4月4日

4月2日,据彭博社报道,美国电动汽车制造商特斯拉创始人埃隆·马斯克(Elon Musk)赞扬了腾讯科恩安全实验室(Tencent Keen Security Lab)所发现的特斯拉自动驾驶系统Autopilot可能存在的漏洞。通过该漏洞可获得自动驾驶系统的控制权。 腾讯科恩安全实验室3月29日发表博文称,他们发现了特斯拉Model S轿车的自动驾驶系统(版本2018.6.1)存在三大漏洞,包括可以...

 栏目: 业界  Tagged: , ,

GeekPwn2018:从黑客的视角预见AI安全威胁

 2018年10月24日

用AI技术骗过AI“指鹿为马”? 攻破虚拟机开启“上帝视角”?用一张纸秒破手机屏下指纹锁?那些原本只可能存在于科幻大片中的未来场景在GeekPwn的舞台上一一变成了现实。10月24日-25日,2018国际安全极客大赛(GeekPwn 2018)在上海如期而至,来自世界各地的安全研究员、白帽黑客、安全大牛们,组成黑客界“最强大脑”团队,攻破重重关卡与迷阵,上演了一场现实版“黑客帝国”。 GeekPw...

 栏目: 业界  Tagged: , , , ,