随着网络攻击日益复杂,总部位于香港的中信通讯国际 CPC 面临着越来越大的压力来保护其 IT 资产。传统的渗透测试虽然必不可少,但费用高昂且需要网络安全专业人才。网络安全专家的短缺进一步加剧了这一问题,使得定期开展全面的安全审计变得困难重重。
为了解决这些问题,中信通讯希望找到一种能够降低开展渗透测试技术门槛的方案,让初级 IT 员工也能执行这一高级安全测试任务。目标是实现定期且自动化的扫描,及时发现并解决漏洞,同时降低成本并提高网络安全测试的效率和准确性。
中信通讯开发出 TrustCSI AI Pentest 工具来应对这些挑战。该工具将传统渗透测试工具与其 AI 渗透测试技术相结合,同时采用了其在香港获得专利的用于生成 SQL 注入攻击以测试 Web 应用防火墙安全性的方案。
TrustCSI AI Pentest 自动化地执行渗透测试流程,使测试变得更快、更准确,并使非专业人员也能进行操作。该工具的主要功能包括资产扫描、漏洞检测、弱密码测试、SQL 注入与跨站脚本( XSS )注入。此外,它支持定制化渗透测试任务,并生成渗透测试报告。
由于传统的渗透测试通常因成本和耗时较高而零散进行,TrustCSI AI Pentest 引入了自动调度功能,使非专业用户也可以定期扫描其 IT 资产。这确保了漏洞能够得到及时发现和修复,从而大大降低了网络攻击的风险。同时,它还消除了对大量专业培训的需求,并减少了系统维护成本,使日常安全测试变得更加普及。
通过利用 AI 技术,TrustCSI AI Pentest 能够创建高效、针对性的载荷,识别传统工具往往遗漏的信息安全漏洞。这一方法显著提高了漏洞发现的准确性和效率。该工具还通过 AI 生成的见解优化了报告流程,解读测试结果,制作出清晰、用户友好的报告,为网络安全漏洞提供直观的洞察。
中信通讯还建立了一个门户网站,允许用户检查 IT 资产的网络安全等级,从而使企业在网络攻击发生之前采取预防措施,降低安全事件的发生概率。
该项目通过减少对昂贵第三方工具的依赖以及降低对网络安全专家的需求,实现了显著的成本节省。其中一项主要的节省措施是降低软件许可费用。之前每个系统外包的渗透测试费用为 HK,000 ( US,571 ),每年针对 20 个关键系统的渗透测试总费用约为 HK0,000 ( US,424 )。而 TrustCSI AI Pentest 目前有助于降低这些费用,预计每年可为公司节省约 HK0,000 ( US,712 )。
自动化测试任务还减少了中信通讯内部网络安全人员的工作量。通常,每季度对约 5 个系统进行渗透测试,每年的安全扫描覆盖 126 个系统。此外,在应用系统升级、变更和新系统部署之前,都必须进行测试扫描。此前,每年在渗透测试上需要花费 150 人天,而 TrustCSI AI Pentest 将这一工作量减半,每年节省约 80 人天。
关键成功因素
该项目的成功源于几个关键因素。结构化的变更管理方法确保所有变更请求均由包括 AI 工程师、 IT 专家和网络安全专业人士在内的指定团队成员进行评估。任何变更在实施前都必须获得管理层的批准,以确保与项目目标和网络安全需求保持一致。
项目组精心组建了一支拥有正确技能、知识和开放心态的多元化团队,这确保了团队能够有效推动与适应变更,从而促进效率和创新。
有效的沟通也发挥了重要作用。团队每周召开会议,并通过实时内部通讯平台保持开放透明的沟通。这使得所有成员都能及时了解进展、变更及其影响,从而减少不确定性并在项目全程中建立信任。
项目管理采用了敏捷方法,项目被划分为五个冲刺阶段——每个阶段均包括需求确认、设计、实施和用户验收测试。这种敏捷方法提高了灵活性,减少了变更请求,并确保了按时交付。该项目最终在预定时间内完成,总预算为 HK0,000 ( US,135 )。
在项目成功完成后,中信通讯认识到,准确的 AI 模型需要大量的训练数据。为了解决合适数据短缺的问题,公司利用多个测试环境,手动收集网络安全数据,整合互联网数据,并使用数据增强技术扩充数据集。
中信通讯还认识到了对测试功能进行模块化的好处。由于渗透测试意味着针对不同目标需要不同的测试内容,通过将测试功能以模块的形式集成到平台中,使用户能够为特定目标定制测试模板,从而提高了平台的灵活性,并降低了未来的开发成本。
最后,网络安全专家与 IT 操作人员之间的紧密合作被证明极为宝贵。网络安全见解塑造了 TrustCSI AI Pentest 的功能范围和合规性,而 IT 操作人员的反馈则提升了测试报告的可读性和易用性,从而确保了项目的有效性。
