隨著網(wǎng)絡(luò)攻擊日益復(fù)雜，總部位于香港的中信通訊國際 CPC 面臨著越來越大的壓力來保護(hù)其 IT 資產(chǎn)。傳統(tǒng)的滲透測試雖然必不可少，但費(fèi)用高昂且需要網(wǎng)絡(luò)安全專業(yè)人才。網(wǎng)絡(luò)安全專家的短缺進(jìn)一步加劇了這一問題，使得定期開展全面的安全審計變得困難重重。

為了解決這些問題，中信通訊希望找到一種能夠降低開展?jié)B透測試技術(shù)門檻的方案，讓初級 IT 員工也能執(zhí)行這一高級安全測試任務(wù)。目標(biāo)是實(shí)現(xiàn)定期且自動化的掃描，及時發(fā)現(xiàn)并解決漏洞，同時降低成本并提高網(wǎng)絡(luò)安全測試的效率和準(zhǔn)確性。

中信通訊開發(fā)出 TrustCSI AI Pentest 工具來應(yīng)對這些挑戰(zhàn)。該工具將傳統(tǒng)滲透測試工具與其 AI 滲透測試技術(shù)相結(jié)合，同時采用了其在香港獲得專利的用于生成 SQL 注入攻擊以測試 Web 應(yīng)用防火墻安全性的方案。

TrustCSI AI Pentest 自動化地執(zhí)行滲透測試流程，使測試變得更快、更準(zhǔn)確，并使非專業(yè)人員也能進(jìn)行操作。該工具的主要功能包括資產(chǎn)掃描、漏洞檢測、弱密碼測試、SQL 注入與跨站腳本( XSS )注入。此外，它支持定制化滲透測試任務(wù)，并生成滲透測試報告。

由于傳統(tǒng)的滲透測試通常因成本和耗時較高而零散進(jìn)行，TrustCSI AI Pentest 引入了自動調(diào)度功能，使非專業(yè)用戶也可以定期掃描其 IT 資產(chǎn)。這確保了漏洞能夠得到及時發(fā)現(xiàn)和修復(fù)，從而大大降低了網(wǎng)絡(luò)攻擊的風(fēng)險。同時，它還消除了對大量專業(yè)培訓(xùn)的需求，并減少了系統(tǒng)維護(hù)成本，使日常安全測試變得更加普及。

通過利用 AI 技術(shù)，TrustCSI AI Pentest 能夠創(chuàng)建高效、針對性的載荷，識別傳統(tǒng)工具往往遺漏的信息安全漏洞。這一方法顯著提高了漏洞發(fā)現(xiàn)的準(zhǔn)確性和效率。該工具還通過 AI 生成的見解優(yōu)化了報告流程，解讀測試結(jié)果，制作出清晰、用戶友好的報告，為網(wǎng)絡(luò)安全漏洞提供直觀的洞察。

中信通訊還建立了一個門戶網(wǎng)站，允許用戶檢查 IT 資產(chǎn)的網(wǎng)絡(luò)安全等級，從而使企業(yè)在網(wǎng)絡(luò)攻擊發(fā)生之前采取預(yù)防措施，降低安全事件的發(fā)生概率。

該項(xiàng)目通過減少對昂貴第三方工具的依賴以及降低對網(wǎng)絡(luò)安全專家的需求，實(shí)現(xiàn)了顯著的成本節(jié)省。其中一項(xiàng)主要的節(jié)省措施是降低軟件許可費(fèi)用。之前每個系統(tǒng)外包的滲透測試費(fèi)用為 HK,000 ( US,571 )，每年針對 20 個關(guān)鍵系統(tǒng)的滲透測試總費(fèi)用約為 HK0,000 ( US,424 )。而 TrustCSI AI Pentest 目前有助于降低這些費(fèi)用，預(yù)計每年可為公司節(jié)省約 HK0,000 ( US,712 )。

自動化測試任務(wù)還減少了中信通訊內(nèi)部網(wǎng)絡(luò)安全人員的工作量。通常，每季度對約 5 個系統(tǒng)進(jìn)行滲透測試，每年的安全掃描覆蓋 126 個系統(tǒng)。此外，在應(yīng)用系統(tǒng)升級、變更和新系統(tǒng)部署之前，都必須進(jìn)行測試掃描。此前，每年在滲透測試上需要花費(fèi) 150 人天，而 TrustCSI AI Pentest 將這一工作量減半，每年節(jié)省約 80 人天。

關(guān)鍵成功因素

該項(xiàng)目的成功源于幾個關(guān)鍵因素。結(jié)構(gòu)化的變更管理方法確保所有變更請求均由包括 AI 工程師、 IT 專家和網(wǎng)絡(luò)安全專業(yè)人士在內(nèi)的指定團(tuán)隊(duì)成員進(jìn)行評估。任何變更在實(shí)施前都必須獲得管理層的批準(zhǔn)，以確保與項(xiàng)目目標(biāo)和網(wǎng)絡(luò)安全需求保持一致。

項(xiàng)目組精心組建了一支擁有正確技能、知識和開放心態(tài)的多元化團(tuán)隊(duì)，這確保了團(tuán)隊(duì)能夠有效推動與適應(yīng)變更，從而促進(jìn)效率和創(chuàng)新。

有效的溝通也發(fā)揮了重要作用。團(tuán)隊(duì)每周召開會議，并通過實(shí)時內(nèi)部通訊平臺保持開放透明的溝通。這使得所有成員都能及時了解進(jìn)展、變更及其影響，從而減少不確定性并在項(xiàng)目全程中建立信任。

項(xiàng)目管理采用了敏捷方法，項(xiàng)目被劃分為五個沖刺階段——每個階段均包括需求確認(rèn)、設(shè)計、實(shí)施和用戶驗(yàn)收測試。這種敏捷方法提高了靈活性，減少了變更請求，并確保了按時交付。該項(xiàng)目最終在預(yù)定時間內(nèi)完成，總預(yù)算為 HK0,000 ( US,135 )。

在項(xiàng)目成功完成后，中信通訊認(rèn)識到，準(zhǔn)確的 AI 模型需要大量的訓(xùn)練數(shù)據(jù)。為了解決合適數(shù)據(jù)短缺的問題，公司利用多個測試環(huán)境，手動收集網(wǎng)絡(luò)安全數(shù)據(jù)，整合互聯(lián)網(wǎng)數(shù)據(jù)，并使用數(shù)據(jù)增強(qiáng)技術(shù)擴(kuò)充數(shù)據(jù)集。

中信通訊還認(rèn)識到了對測試功能進(jìn)行模塊化的好處。由于滲透測試意味著針對不同目標(biāo)需要不同的測試內(nèi)容，通過將測試功能以模塊的形式集成到平臺中，使用戶能夠?yàn)樘囟繕?biāo)定制測試模板，從而提高了平臺的靈活性，并降低了未來的開發(fā)成本。

最后，網(wǎng)絡(luò)安全專家與 IT 操作人員之間的緊密合作被證明極為寶貴。網(wǎng)絡(luò)安全見解塑造了 TrustCSI AI Pentest 的功能范圍和合規(guī)性，而 IT 操作人員的反饋則提升了測試報告的可讀性和易用性，從而確保了項(xiàng)目的有效性。