多年来,我们一直在听到同样的说法:AI将会取代你的工作。事实上,2017年麦肯锡发布了一份报告《消失与新增的岗位:自动化时代下的劳动力转型》,预测到2030年,将有3.75亿工人需要寻找新工作,否则可能会被AI和自动化取代。这无疑引发了人们的焦虑。
关于哪些职业会受到AI冲击的讨论从未停止,而渗透测试(Pentesting)最近也被推到了风口浪尖。随着AI现在能够自动化执行诸如漏洞扫描和网络扫描等任务,以及像PlexTrac这样的平台正在引入AI功能以减少手动操作,渗透测试师会因此失业吗?
让我们从乐观的角度开始。今年,麦肯锡撤销了之前关于3.75亿工人将被AI取代的预测,将这一数字下调至约9200万人。报告进一步缓解了担忧,指出虽然某些工作可能会消失,更可能的情况是岗位会发生转型,预计将有1.7亿个新角色从变革中涌现。
回到渗透测试领域,可以合理推测,未来几年渗透测试的某些环节将更加自动化,一些相关岗位可能需要转型。但AI缺少一个让渗透测试与其它自动化扫描工具区别开的关键要素:人性化因素。正如云安全联盟(Cloud Security Alliance)所提到的:“与其取代人类,AI更像是渗透测试师的能力放大器。”
AI将增强而非取代渗透测试能力
一个常见的误解是,AI会让渗透测试师成为历史。现实情况则要复杂得多。自动化已经开始帮助简化一些单调、重复的任务,但人类的创造力和专业知识仍然是不可替代的。
1. 脚本小子们正在(机器)学习
AI正在改变渗透测试的入门门槛。借助AI驱动的工具,那些技术经验不足的人——通常被称为“脚本小子”——将能够执行更复杂的测试,而无需深入了解背后的原理。AI通过自动化漏洞扫描、对手模拟和漏洞利用等复杂任务,降低了入门门槛。这种自动化使这些用户能更容易地发现并利用系统中的弱点。
尽管渗透测试师可能对脚本小子持负面看法,但AI和自动化的进步对所有人都有利。通过消除低技术含量的任务,测试师们可以将精力投入到更复杂和有价值的任务中,从而提升技能水平,在各自的岗位上更有效、更安全。AI处理繁琐的基础工作,让所有测试师都能专注于学习渗透测试的深层细节,最终变得更加熟练,并为安全领域做出更多贡献。
2. 专注于高价值工作:让AI处理单调任务
不仅仅是脚本小子,渗透测试师也能从AI中受益。通过利用自动化,渗透测试师可以腾出时间专注于需要更高专业技能或人工干预的任务。例如,AI可以自动化发现漏洞,让渗透测试师集中精力设计独特的漏洞利用或进行高级的红队演练,这些都需要对人类行为和业务逻辑的深入理解。
以下是AI可以自动化处理的具体任务:
- 推动更深入的研究和开源情报(OSINT)收集
- 扫描目标系统中的常见漏洞和暴露(CVEs)
- 进行基本的网络扫描并识别潜在的攻击向量
- 根据严重性和可利用性对发现的漏洞进行分类和优先级排序
- 根据当前测试环境的技术栈设计漏洞利用方案
- 根据之前发现的漏洞,建议额外的测试案例
通过消除这些重复性任务,AI让渗透测试师能够花更多时间探索复杂的漏洞利用、发现隐藏的缺陷以及跳出固有思维模式——这些技能在可预见的未来仍然是AI无法企及的。
3. 钓鱼攻击和社会工程2.0:AI为模拟攻击提供更强助力
AI对渗透测试的影响在社会工程领域也显而易见。这项技术正在推动钓鱼攻击模拟和培训演练的进步。AI能够分析大量数据,理解人类行为,并设计出更具迷惑性的钓鱼攻击或社会工程场景,使渗透测试师能够进行更逼真的攻击模拟。这意味着企业能更好地应对真实世界中的威胁,因为AI提升了模拟攻击的真实性。
此外,AI工具还能提供反馈和指导,帮助渗透测试师改进社会工程技术,并从过去的演练中学习,逐步完善他们的能力。
4. AI将加速渗透测试流程:速度与精准并存
AI可以大幅加速渗透测试生命周期的各个阶段,例如:
- OSINT和信息收集: AI可以分析组织的技术栈,识别所使用的工具和平台中的已知漏洞,并比人工更快地提出潜在的攻击向量。
- 威胁建模: 基于收集到的数据,AI可以根据与收集情报相关的历史成功率,推荐特定威胁进行模拟。
- 异常检测: 在处理海量数据集时,AI擅长发现模式并识别异常。它可以标记出可能被数据海洋埋没的异常发现,让渗透测试师专注于最关键的风险。
- 漏洞利用开发: AI工具可以帮助渗透测试师生成针对特定技术栈或系统的漏洞利用代码。
- 后渗透阶段: AI可以帮助清理渗透测试的痕迹,以更全面的方式移除测试者存在的证据。它还可以留下虚假线索,迷惑防御者,将调查引入歧途。
- 渗透测试/攻击性安全报告: 就像GPT工具能帮助你写邮件一样,生成式AI可以加速渗透测试报告的撰写。领先的渗透测试报告平台PlexTrac已经集成了AI功能,帮助生成漏洞利用发现、总结数据,甚至起草报告的执行摘要。当然,你需要确保所使用的平台能保护你的数据安全。PlexTrac自主研发的AI解决方案采用预训练模式,系统和底层组件不会随时间学习或保留用户提交的内容,仅在处理提交和生成响应时使用。
AI在渗透测试中的未来:黑客的最佳助手?
未来的渗透测试很可能将形成AI与人类专业知识协同合作的关系。以下是AI在不久的将来如何支持渗透测试师的方式:
- 协作: AI可以作为渗透测试师的助手,帮助分析发现、生成报告,甚至根据过去的经验推荐下一步行动。它可以充当“红队助手”,促进团队成员之间的协作,并在整个测试过程中提供指导。
- 业务逻辑和上下文感知: AI还将帮助渗透测试师理解漏洞如何影响业务。AI不仅能识别技术缺陷,还能提供上下文,说明该缺陷可能导致业务中断、数据丢失或声誉受损。这种理解将指导渗透测试师为报告提出更具影响力的建议。
- 代理框架和推理模型: 随着推理模型的进步,AI能够提供其做出特定决策背后的逻辑,让渗透测试师更好地理解其发现和建议的依据。这种透明性将改善人类与AI的互动方式,并提升其在渗透测试任务中的有效性。
拥抱你的新渗透测试助手
AI的目的并非取代渗透测试师,而是让他们的工作更快速、更高效、更有效。扫描漏洞、撰写报告甚至执行基本漏洞利用等琐碎任务都可以交给自动化,但那些需要创造力、批判性思维和深厚技术知识的任务仍然需要黑客的智慧。
通过将AI视为增强工作的工具,渗透测试师可以将更多时间投入到他们工作中最激动人心且最具挑战性的部分——黑客攻击、问题解决和智胜对手。随着AI的不断发展,显然渗透测试师将获得更多能力,而不是被取代。事实上,那些拥抱AI的人很可能会在不断变化的网络安全领域中更具竞争力。
