隨著網絡攻擊日益復雜，總部位于香港的中信通訊國際 CPC 面臨著越來越大的壓力來保護其 IT 資產。傳統的滲透測試雖然必不可少，但費用高昂且需要網絡安全專業人才。網絡安全專家的短缺進一步加劇了這一問題，使得定期開展全面的安全審計變得困難重重。

為了解決這些問題，中信通訊希望找到一種能夠降低開展滲透測試技術門檻的方案，讓初級 IT 員工也能執行這一高級安全測試任務。目標是實現定期且自動化的掃描，及時發現并解決漏洞，同時降低成本并提高網絡安全測試的效率和準確性。

中信通訊開發出 TrustCSI AI Pentest 工具來應對這些挑戰。該工具將傳統滲透測試工具與其 AI 滲透測試技術相結合，同時采用了其在香港獲得專利的用于生成 SQL 注入攻擊以測試 Web 應用防火墻安全性的方案。

TrustCSI AI Pentest 自動化地執行滲透測試流程，使測試變得更快、更準確，并使非專業人員也能進行操作。該工具的主要功能包括資產掃描、漏洞檢測、弱密碼測試、SQL 注入與跨站腳本( XSS )注入。此外，它支持定制化滲透測試任務，并生成滲透測試報告。

由于傳統的滲透測試通常因成本和耗時較高而零散進行，TrustCSI AI Pentest 引入了自動調度功能，使非專業用戶也可以定期掃描其 IT 資產。這確保了漏洞能夠得到及時發現和修復，從而大大降低了網絡攻擊的風險。同時，它還消除了對大量專業培訓的需求，并減少了系統維護成本，使日常安全測試變得更加普及。

通過利用 AI 技術，TrustCSI AI Pentest 能夠創建高效、針對性的載荷，識別傳統工具往往遺漏的信息安全漏洞。這一方法顯著提高了漏洞發現的準確性和效率。該工具還通過 AI 生成的見解優化了報告流程，解讀測試結果，制作出清晰、用戶友好的報告，為網絡安全漏洞提供直觀的洞察。

中信通訊還建立了一個門戶網站，允許用戶檢查 IT 資產的網絡安全等級，從而使企業在網絡攻擊發生之前采取預防措施，降低安全事件的發生概率。

該項目通過減少對昂貴第三方工具的依賴以及降低對網絡安全專家的需求，實現了顯著的成本節省。其中一項主要的節省措施是降低軟件許可費用。之前每個系統外包的滲透測試費用為 HK,000 ( US,571 )，每年針對 20 個關鍵系統的滲透測試總費用約為 HK0,000 ( US,424 )。而 TrustCSI AI Pentest 目前有助于降低這些費用，預計每年可為公司節省約 HK0,000 ( US,712 )。

自動化測試任務還減少了中信通訊內部網絡安全人員的工作量。通常，每季度對約 5 個系統進行滲透測試，每年的安全掃描覆蓋 126 個系統。此外，在應用系統升級、變更和新系統部署之前，都必須進行測試掃描。此前，每年在滲透測試上需要花費 150 人天，而 TrustCSI AI Pentest 將這一工作量減半，每年節省約 80 人天。

關鍵成功因素

該項目的成功源于幾個關鍵因素。結構化的變更管理方法確保所有變更請求均由包括 AI 工程師、 IT 專家和網絡安全專業人士在內的指定團隊成員進行評估。任何變更在實施前都必須獲得管理層的批準，以確保與項目目標和網絡安全需求保持一致。

項目組精心組建了一支擁有正確技能、知識和開放心態的多元化團隊，這確保了團隊能夠有效推動與適應變更，從而促進效率和創新。

有效的溝通也發揮了重要作用。團隊每周召開會議，并通過實時內部通訊平臺保持開放透明的溝通。這使得所有成員都能及時了解進展、變更及其影響，從而減少不確定性并在項目全程中建立信任。

項目管理采用了敏捷方法，項目被劃分為五個沖刺階段——每個階段均包括需求確認、設計、實施和用戶驗收測試。這種敏捷方法提高了靈活性，減少了變更請求，并確保了按時交付。該項目最終在預定時間內完成，總預算為 HK0,000 ( US,135 )。

在項目成功完成后，中信通訊認識到，準確的 AI 模型需要大量的訓練數據。為了解決合適數據短缺的問題，公司利用多個測試環境，手動收集網絡安全數據，整合互聯網數據，并使用數據增強技術擴充數據集。

中信通訊還認識到了對測試功能進行模塊化的好處。由于滲透測試意味著針對不同目標需要不同的測試內容，通過將測試功能以模塊的形式集成到平臺中，使用戶能夠為特定目標定制測試模板，從而提高了平臺的靈活性，并降低了未來的開發成本。

最后，網絡安全專家與 IT 操作人員之間的緊密合作被證明極為寶貴。網絡安全見解塑造了 TrustCSI AI Pentest 的功能范圍和合規性，而 IT 操作人員的反饋則提升了測試報告的可讀性和易用性，從而確保了項目的有效性。