自動化安全工具已經成為信息安全領域中進步最大的方面之一。由于網絡與軟件及針對它們的威脅都在變得越來越復雜，因此自動化已經成為不可或缺的一部分。

[[115088]]

安全自動化并不是一個新概念。早在1995年出現的網絡分析安全管理工具(Security Administrator Tool for Analyzing Networks, SATAN)就是一個自動化安全工具，從那時起自動化不斷地發展壯大，后面加入了二進制分析、惡意軟件研究、沙箱、漏洞掃描、代碼掃描等等。

根據自動化漏洞評估的結果，Metasploit已經成為最流行的黑客工具，當然也是一種保護企業網絡的重要工具?？墒牵捎贛etasploit非常擅長發現和查找組織的弱點，因此大多數攻擊者都知道使用它可以輕松發現和查找到一個可攻擊的系統。

本文將介紹Metasploit的工作方式，為什么企業愿意使用它，以及如何采取一些控制措施，防止黑客使用Metasploit竊取組織內部信息。

Metasploit的工作方式

開源軟件Metasploit是H.D. Moore在2003年開發的，它是少數幾個可用于執行諸多滲透測試步驟的工具。在發現新漏洞時(這是很常見的)，Metasploit會監控Rapid7，然后Metasploit的200,000多個用戶會將漏洞添加到Metasploit的目錄上。然后，任何人只要使用Metasploit，就可以用它來測試特定系統的是否有這個漏洞。

Metasploit框架使Metasploit具有良好的可擴展性，它的控制接口負責發現漏洞、攻擊漏洞，提交漏洞，然后通過一些接口加入攻擊后處理工具和報表工具。Metasploit框架可以從一個漏洞掃描程序導入數據，使用關于有漏洞主機的詳細信息來發現可攻擊漏洞，然后使用有效載荷對系統發起攻擊。所有這些操作都可以通過Metasploit的Web界面進行管理，而它只是其中一種種管理接口，另外還有命令行工具和一些商業工具等等。

攻擊者可以將來漏洞掃描程序的結果導入到Metasploit框架的開源安全工具Armitage中，然后通過Metasploit的模塊來確定漏洞。一旦發現了漏洞，攻擊者就可以采取一種可行方法攻擊系統，通過Shell或啟動Metasploit的meterpreter來控制這個系統。

這些有效載荷就是在獲得本地系統訪問之后執行的一系列命令。這個過程需要參考一些文檔并使用一些數據庫技術，在發現漏洞之后開發一種可行的攻擊方法。其中有效載荷數據庫包含用于提取本地系統密碼、安裝其他軟件或控制硬件等的模塊，這些功能很像以前BO2K等工具所具備的功能。

使用Metasploit保護企業安全

使用Metasploit作為一個通用的漏洞管理程序，可以確認某一個漏洞已經通過安裝補丁、配置變更或實現補償控制等措施得到關閉。例如，如果還沒有補丁可以安裝，但是禁用某一個系統特性可以防止網絡攻擊，那么就可以使用Metasploit來驗證提議的策略(禁用系統特性)是符合預期的。此外，Metasploit還能驗證安全監控工具能夠檢測到攻擊行為。

Metasploit的另一個優點是它可以向人們展示如何輕松地攻擊和完全控制一個系統，從而證明一個漏洞的嚴重性。例如，它可能發現一個目標系統存在可遠程攻擊的漏洞，然后在Metasploit中配置的一個有效載荷會通過遠程Shell連接目標系統，這樣攻擊者就可以盜取數據或安裝鍵盤記錄程序。使用Metasploit執行滲透測試，自動完成許多的人工檢查，這樣可以方便滲透測試人員繞過一些特定的區域，而將注意力放在需要深入分析的區域。

在企業環境中，Metasploit的最常見用途是對補丁或漏洞管理決策進行優先級劃分。一旦Metasploit針對一個漏洞發布一個模塊，企業就可以提高這些補丁的優先級，特別是考慮到現代腳本黑客可能使用它來輕松攻破系統。此外，企業應該將現有Metasploit模塊已經發現的漏洞添加到需要打補丁或修復的漏洞列表上。

對抗Metasploit的攻擊

和其他信息安全工具一樣，Metasploit既可能用于做好事，也可能用于干壞事。黑帽及其他惡意黑客可能利用Metasploit攻擊企業，從而發現漏洞，利用漏洞獲得網絡、應用與數據的非授權訪問。

一些標準安全控制措施可以有效防御Metasploit攻擊，如安裝補丁、以最低權限運行應用程序或進程、只給可信主機提供網絡訪問及SANS Top 20 Critical Security Controls(20個頂級SANS重要安全控件)或OWASP Top Ten(10大開放Web應用安全項目)所包含的其他通用方法。除非Metasploit攻擊使用“編碼”方法來逃避入侵檢測系統的流量檢測，否則它在通過網絡時會被檢測出來。除此之外，監控網絡異?，F象，或者使用基于主機的檢測工具檢測本地系統上運行的Metasploit，都可以檢測Metasploit活動。

和任何工具一樣，Metasploit可用于保護企業網絡，也可用于破壞企業網絡。盡管Metasploit可以檢測漏洞和提供企業網絡所需要的一線防御，但是一定要注意，攻擊者可能利用相同的工具來發現相同的漏洞。

在企業安全工具中加入Metasploit有很多的好處，但是組織還需要利用其他工具和技術來防御來自Metasploit的攻擊行為。