商傳媒|責任編輯/綜合外電報導
網路安全公司 Synack 近日正式推出 Sara AI Pentesting 服務,這項創新平台結合了人工智慧與人工驗證機制,旨在為企業提供更廣泛的資安測試覆蓋範圍,以應對日益頻繁且自動化的網路攻擊。
Synack 指出,隨著攻擊者日益自動化發現與利用漏洞,傳統滲透測試受限於成本、時間與專業研究人員的稀缺,導致許多企業僅能對其數位資產的一部分進行測試。Sara AI Pentesting 的核心目標是改變這種局面,透過自主系統擴大測試範圍,並將發現的潛在弱點交由人工審查員進行驗證。
這項服務隸屬於 Synack 的 PTaaS platform(滲透測試即服務平台),可應用於網路應用程式與基礎設施。Sara 能執行偵察、繪製攻擊面,並在初步利用漏洞後將結果提交給 Synack 的研究人員網路進行最終驗證與報告。Synack 首席執行長兼聯合創始人 Jay Kaplan 表示,當前問題不在於工具匱乏,而是覆蓋率不足。他指出:「攻擊面擴張的速度超越了組織的測試能力,而人工智慧正加速漏洞的發現和利用。Sara AI Pentesting 透過人工智慧擴大覆蓋範圍,再結合人工驗證,確保發現的漏洞確實具有實質意義。」
在早期測試階段,Sara AI Pentesting 在部分實際案例中展現出與資深安全研究人員相當的成果。例如,在一次測試中,該系統在沒有人為指導的情況下,自行識別並利用了一系列三個嚴重的漏洞,包括一個曝露憑證的 SQL 注入問題、一個導致帳戶遭接管的密碼重設弱點,以及一個儲存型跨站腳本攻擊漏洞。Synack 表示,在早期部署中,有高達 70% 的發現被評為高風險或關鍵風險等級。
Synack 表示,Sara 服務能以傳統滲透測試所需成本的一小部分,實現數倍的測試頻率,且主要聚焦於可被利用的實際漏洞,而非理論風險。這符合當前網路安全領域結合人工智慧工具與人類監督的趨勢。Sara 可透過 AWS、微軟(Microsoft)和 Google Cloud 等主要雲端服務供應商的市集取得,有助於簡化大型企業的採購流程。值得一提的是,Synack 是由美國國家安全局(National Security Agency)前特工所創立,已累積近 1,000 萬小時的測試時數,服務範圍涵蓋金融服務與國防等產業。
