8月22日,四维创智在BCS 2019北京网络安全大会上发布智能安全领域新产品“小智-智能渗透测试机器人”。秉承“专研智能,智汇安全”,小智是四维创智基于自身传统安全优势,布局“AI+网络安全”智能自动化方向的重磅产品。自始,四维创智安全产品体系将实现全面升级。
发布会上,四维创智CEO司红星通过回顾公司发展历程,阐述了多年来安全服务过程中所发现的安全工具的局限性和企业安全建设中亟待解决的根本性问题。从而,深入浅出的向我们展示小智利用AI技术,如何实现其业务价值。四维创智给他的定位是“一款可以自学习、自成长、自决策的AI渗透测试机器人。”
作为国内率先实现“AI+网络安全检测”的智能渗透测试机器人。小智可以将白帽子在大量渗透过程中积累的实战经验转化为机器可存储、可识别、可处理的结构化经验,并且在自动化测试过程中借助人工智能专家经验不断进行“智力”成长和逻辑推理决策,以贴近实际人工渗透的方式,对给定目标进行从信息收集到漏洞利用的完整测试过程。主动发现信息化系统的风险点,并实时展现渗透决策路径、输出结果,“小智”打破传统网络安全检测平台针对威胁利用的单一性和不连贯性,在测试过程中注重多个风险点之间的关联利用,支持对目标的持续性安全检测,提供辅助渗透测试和安全隐患的解决方案,降低人工成本。
AI技术的成功应用是其核心。该产品创造性的运用大量AI技术来实现渗透测试各个环节点的优化,提升渗透测试的整体效果。通过知识图谱技术,将概念上互相独立的系统页面特征、流量特征与特定漏洞以“实体-关系-实体”或“实体-属性-属性值”的三元组关系进行结构化的存储,建立起页面特征、流量帖子和特定漏洞之间的关联关系,并对实体间的关联关系进行形象化的展示,完成对大规模非固定结构渗透数据的高效存储和快速检索;同时有助于对漏洞进行关联分析,最终实现对渗透路径的预测。并通过机器学习手段,大量训练特定漏洞(如上传漏洞、验证码识别)的探测与利用方法,解决这些漏洞无法通过传统手段检测的问题。
除此之外,小智还基于网络安全专业技术人员在信息收集、工具选择、单一漏洞扫描、逻辑漏洞检测、组合漏洞利用等漏洞挖掘方面的技术经验,构建“专家系统”,建立多个漏洞组合利用模型,达到中高级专业黑客水平的自动化渗透测试,并能根据推理系统组合多种漏洞进行深度漏洞探测。
小智提供针对企业安全工具以及人才的两大方面助力。
工具方面,该产品是一个具备逻辑思维的渗透测试机器人,节约时间成本和渗透测试结果精准度。小智的“机器人”属性,可以实现渗透测试过程的自动化,完成基础的渗透测试任务,使团队安全人员更专注于新技术研究和技能提升。并且通过四维创智设计的DPL决策规划语言,将安全人员经验得以存储和转化,随着经验增加,小智也随之共同成长,成为具象化的可存储的经验库,并作用于日常渗透测试工作;小智还能够解决传统安全检测产品的误报、漏报问题,并通过漏洞组合利用,对发现的特定问题继续深度分析、利用和关联,使企业不再拥有一个工具,而是一个不眠不休的安全管家。
产品优势
人才培养方面,该产品是一本动态生成的电子教科书。小智特有的基于知识图谱的渗透测试路径绘制,将渗透过程清晰的展现出来,变成教科书式案例供初级安全人员学习,大大降低企业人员培养的时间成本,提升人才孵化效率,使初级安全人员能够系统学习,快速成长。
产品亮点
四维创智在国家重点行业单位的项目检测经验为产品提供了实践基础和功能上的反复”打磨“。“智能”一直是四维创智努力的方向,目前在该领域已拥有成熟的自动化渗透测试产品——天象综合渗透测试平台,是国内首款实现了安全检测工具智能模块化的应用型检测工具。从开始的自动化渗透测试的探索和企业实践,到最终形成这样一套具备“逻辑思维”的渗透测试机器人,不断探索前行。我们遵循现有的智能安全发展思路,下一步将在威胁特征多样性处理、多环节跨平台自动流程化、跨领域知识库自我学习系统化方向上进行实践,以达到威胁探测+威胁感知+阻断拦截+端点响应的安全闭环。