作者简介:曹静,灰度安全创始人,从事安全领域工作14年,专注安全运营体系建设,丰富的安全产品规划设计经验,兼具传统安全企业和互联网安全企业从业经验。

2017年,一个名为“入侵和攻击模拟(BAS)”软件的类别首次出现在Gartner Hype Cycle作为安全运营的技术,被定位为一种正在崛起的技术。在其发布的《2021安全运营技术成熟度曲线》中,Gartner将BAS的技术优先级评为“高”。作为一项新兴技术,预计它将在未来2-5年内成为主流。

Gartner最新发布的2022年八大安全和风险管理趋势中,再次提到了入侵和攻击模拟(Breach and Attack Simulation)。入侵和攻击模拟(BAS)技术的出现,为企业机构提供持续性的防御态势评估,弥补渗透测试等跨周期定点评估所提供的有限可视性。

入侵和攻击模拟(BAS)技术,通过持续不断地模拟针对企业资产的多种攻击载体,从而验证企业防御措施有效性。现阶段,大型企业多采用审计、漏洞管理、应用安全测试和渗透测试等方法检验自身网络安全。相比较以往方式,BAS能够更好的保证用户的网络安全,主要表现在以下几个方面:

一、BAS与传统型工具的区别

1、与渗透测试的区别

BAS区别于渗透测试的核心是可持续验证,BAS通常是以连续的方式自动化运行的,而渗透工具则需要人来驱动。另一个关键区别是,渗透测试验证的是单条路径,而BAS验证的是全局网络,BAS不会向目标资产发起真正的攻击。

2、与漏扫的区别

另一个可能与BAS混淆的类别是传统的脆弱性评估工具(VA)。显著的区别在于,VA tools检查是否存在已发布和已知的漏洞,而BAS则关注攻击的多个阶段,漏洞利用只是其中一个阶段。除此之外,BAS关注的漏洞利用还考虑了风险的因素,这里包括了漏洞被利用的热度以及资产价值。

3、与配置核查的区别

BAS也有可能会与配置核查混淆,后者通常是按照一些合规框架、标准和法规执行的,这些检查通常侧重于控制措施是否有,但没有针对真实威胁或防御的结果验证其有效性,而BAS关注的是效果,关注控制措施有效性问题。

二、BAS应用场

  • 事前验证:当企业需要对安全防御措施进行持续的、系统的和频繁的验证性测试时,BAS是最佳选择。例如,企业为了应对大量业务的安全需求,需要经常修改安全设备的配置信息,频繁的更改不可避免会引入错误或缺陷,如果没有持续性的测试,错误和缺陷可能会在很长一段时间被忽略,甚至在真正的攻击中被黑客发现并利用。使用BAS是在攻击者能够利用缺陷之前连续检查并修复问题的最有效方法。

  • 常态化运营:随着越来越多的企业安全建设驱动力从合规向实战化转变,尤其近几年的HW帮助越来越多的企业提升了整体防御能力,如何建立常态化安全运营机制,将安全防御水平持续保持在一个较高水平?可以通过BAS实现全网安全评估,验证防御体系中的各类安全手段、控制措施的有效性,从而提升企业安全运营效率。

  • 风险评估:传统做安全风险评估的技术手段,最典型的一类手段就是利用日志分析技术,采集关键数据源的文本信息,基于预定义的风险模型进行计算和分析。但实际上,风险评估时仅仅采集与分析控制措施运行后产生的痕迹信息是远远不够的,还需要对控制措施及其过程进行测试验证,有多少攻击是没有被拦截没有被检测到的,也没有被及时响应处置的,这部分风险才是用户更应该去关心的,利用BAS验证技术刚好可以获得这部分数据,重新计算全网风险,通过感知风险,进而达到驱动业务的目的。

三、BAS用户价值

  • 降本增效

BAS对于企业最直接的价值就是降本增效,过去需要1人月完成的风险全面摸排工作,通过自动化的方式1人天就可以完成,大大提升工作效率,降低投入成本,快速提升企业安全防御效能。

  • 工作价值可度量

BAS并不是一款替代人工的自动化工具,它的核心价值在于支撑后期持续运营,通过安全运营,不断优化攻击链路上的薄弱点,全网安全风险有了显著降低,进而度量了安全团队的工作价值。同时,提升了企业主动防御能力,扭转应对安全事件被动式响应的困境。

  • 安全决策可视化

首先,通过BAS对全网的安全验证,可以找出现有防御措施的缺失,帮助企业规划需要采购的防御设备。而对入围的安全供应商,也可以使用BAS进行有效性测试。

  • 辅助红蓝演习

BAS可以辅助红队进行渗透测试,红队可以利用BAS的验证结果进一步渗透,节省渗透测试时间和预算,同时,BAS可以针对渗透测试结果进行再次验证,还可以将演习过程中的知识沉淀下来,有助于开展常态化评估,补充渗透测试的频度。

四、BAS的部署实施建议

BAS在现网环境中部署需要注意以下几点,供参考:

  • 并不需要准备单独的与生产环境一致的测试环境,直接在已有测试环境或生产环境部署即可,根据要验证的场景合理部署BAS代理。

  • 客户根据业务需要选择采样部署或者每个生产系统上都部署BAS代理。

  • BAS产品在使用方面应该考虑对验证工具和脚本的开放性,供客户自己添加维护。

最后总结下,BAS不会替代人工渗透测试,也不是自动化渗透测试工具,其更大的价值在于支撑企业常态化安全运营,而不同的企业,安全运营需求不同。所以,BAS类产品还是要分场景去建设,以应对不同客户的需求场景。

声明:本文来自阿肯的不惑之年,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。