正如我们本周早些时候所指出的，在信息安全行业中，围绕着通常被标记为渗透测试或“红色团队”的任务的自动化，已经采取了很多行动。这两者是相关的，但并不是完全相同的，而且对于传递给“即服务”类型解决方案的内容有明显的限制。但是，沐鸣开户测速一段时间以来，Ars一直在关注一些早期的安全测试工具，其中一个将会对“即服务”的功能进行完全不同的阐述。

 

渗透测试通常涉及检查系统中的漏洞，以获得访问权限。另一方面，Red team通过引入人工元素来测试安全性的全面性——通过精心设计的钓鱼消息进行社会工程，利用信息进行进一步的攻击，等等。虽然它们可以从自动化中受益，但这些事情不能完全交给云中的一群软件机器人。

 

镰刀,一个软件公司剥离出来的安全性测试公司格林,已经在过去的几年里一直致力于一个平台,允许企业信息安全团队构建安全性测试campaigns-creating恶意软件“合成”,制定网络钓鱼活动或其他攻击模拟技术,战术,和实践组已知的威胁。与其他一些自动渗透测试或威胁模拟产品不同，Scythe保留了循环中的人员，这使得它成为内部安全测试人员和外部“红队”顾问的有用工具。

 

Ars已经测试了Scythe平台的早期版本(从2017年开始，当时它还被称为十字弓)，在我们的实验室里对一组受害者系统造成了严重破坏，并做了一些典型的红队模拟攻击时所做的手按键盘的事情。该平台允许构建“恶意软件”，这些“恶意软件”只能在特定网络地址范围内的系统上运行，这个范围是根据任务定制的，并且能够在安装之后下载额外的功能模块。该假恶意软件可部署为可执行文件或动态链接库，允许模拟更先进的恶意软件攻击。由于它是自定义生成的，它的签名与已知的恶意软件不匹配;端点保护软件必须捕捉它的行为。(Windows 7的Windows卫士没有流行起来，但我有限的恶意软件制作技能在我创建的定制战役中被其他终端系统发现;打包的模块在击溃我故意设置的有限防御方面做得更好。)

 

Scythe活动控制台允许安全测试人员针对他们的组织构建一个定制的恶意软件活动。

 

Scythe战役控制台允许安全测试人员针对他们的组织建立一个定制的恶意软件战役。

 

这些功能是吸引一些安全专家告诉Ars镰刀在早期,当他们寻找工具,超越“威胁模拟”tools-systems实质上在许多情况下,广播数据包捕获恶意流量或代理安装在目标系统上(比如AttackIQ和Cymulate)来验证安全控制。但是从一开始，Scythe的首席执行官Bryson Bort就谈到了他关于转变平台的设想，即不仅允许内部和外部的red团队开发自己的攻击并在Scythe的平台上进行管理，而且还可以将它们共享或出售给平台上的其他人。

 

在本月于旧金山举行的RSA大会上，这个市场将正式启动。“咨询公司利用我们为他们提供服务，沐鸣开户测速”波特告诉Ars。“市场将允许他们建造自己的模块。”这些功能模块可以是开源的，并在平台上自由共享，或者开发人员可以将其模块转售给客户或其他咨询公司。

 

模块化方法是安全测试和研究领域的人们所熟悉的——特别是那些多年来使用Metasploit框架进行Web和应用程序安全测试的人(或者使用它来揭露儿童色情网站访问者)。Scythe方法的最大区别是，它们将在Scythe的接口内的“应用程序商店”中提供，并随时准备适应组织的特定需求。

 

据曾与Ars交谈过的一位人士说，他是《财富》500强公司(Fortune 500)内部红队的一员(由于他的工作和雇主的敏感性，这名人士在不具名的情况下接受了采访)，这个市场将使镰刀对红队更有价值。它还应该使工具更容易访问和更有用的范围更广的公司，希望提高他们的脆弱性管理游戏。