美NSA渗透测试供应商Horizon3.ai

本文内容整理至美国国家安全局网络安全协作中心国防工业基础防御主任贝利·比克利（Bailey Bickley）在Blackhat 2025上的演讲。

比克利在演讲中强调了NSA与渗透测试供应商Horizon3.ai的持续合作关系。通过NSA网络安全中心的持续自主渗透测试（Continuous Autonomous Penetration Testing, CAPT），双方为约200家DIB供应商提供了自动化测试工具。Horizon3.ai通过其NodeZero平台为DIB供应商提供自主渗透测试服务。

该计划最初被称为“自主渗透测试（Autonomous Penetration Testing, APT）”，但由于“APT”容易与“高级持续性威胁（Advanced Persistent Threat）”混淆，NSA迅速将其更名为CAPT，以避免误解。

比克利（Bickley）表示：我们最初将其命名为“自主渗透测试计划”，但很快“我们开始接到关于NSA的APT计划的询问，因此我们很快意识到这个名字行不通。”

比克利表示，他们发现了超过50,000个漏洞，此后，超过70%的漏洞得到了修复。在一个案例中，一次渗透测试在短短五分钟内发现了一个内部文件共享系统，包含超过300万个关于核潜艇和航空母舰的敏感文档。

比克利说：“但我想请你们设身处地为这家公司着想，”她回忆起那个墙上挂满动物标本的办公室，“它们没有考虑两年前的漏洞。它们在思考如何为国防部打造最优质的天线。”

她补充道：“这就是我们从国家安全局的角度、从行业的角度所能增加的价值——当我们能够分享我们在威胁环境中看到的洞察，并为这些公司标记问题，以便它们能够保持警惕。”

比克利说：“国防工业基础不再仅由少数传统国防承包商组成。现在它包括了许多来自新兴行业的公司。”其中包括人工智能公司、在战时运输物资的商业运输公司，以及为海外军事基地提供服务的外国水处理设施运营商等。

比克利表示：“战场正在发生变化，我们认识到需要找到新的、可扩展的解决方案来覆盖所有这些新领域。”