2017年，Gartner在《面向威脅技術(shù)的成熟度曲線》報(bào)告中首次提出了BAS（Breach and Attack Simulation），并將其納入新興技術(shù)行列。2021年，Gartner發(fā)布《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線》報(bào)告，明確BAS是“頂級(jí)安全和風(fēng)險(xiǎn)管理趨勢(shì)”。2022年，Gartner最新報(bào)告《2022中國(guó)安全成熟度曲線》再次重點(diǎn)闡述BAS，將其歸到快速上升階段的萌芽期技術(shù)之一。

　　BAS是什么？

　　根據(jù)Gartner的定義，BAS通過(guò)自動(dòng)化模擬外部和內(nèi)部、橫向移動(dòng)和數(shù)據(jù)泄露等威脅向量，使企業(yè)更好地了解其安全薄弱點(diǎn)。BAS是對(duì)紅隊(duì)或滲透測(cè)試的補(bǔ)充，但并不能完全取代兩者。BAS技術(shù)通過(guò)部署軟件代理、虛擬機(jī)、云平臺(tái)和其他手段來(lái)運(yùn)行模擬威脅，進(jìn)而提供模擬攻擊組合的能力來(lái)驗(yàn)證企業(yè)的安全防御體系的有效性。

　　BAS譯為入侵與攻擊模擬，顧名思義，這是一種以攻促防、驗(yàn)證安全、提升安全的運(yùn)營(yíng)手段。

　　首先，這種思維與傳統(tǒng)安全防御的邏輯有明顯區(qū)別，傳統(tǒng)安全一般是以經(jīng)驗(yàn)?zāi)Ｐ蜑橹笇?dǎo)，企業(yè)防護(hù)建設(shè)基本都依賴(lài)于安全設(shè)備進(jìn)行防守，對(duì)安全運(yùn)營(yíng)缺乏體系性的評(píng)估手段。BAS則是從攻擊者的角度出發(fā)，通過(guò)持續(xù)進(jìn)行的威脅和攻擊模擬，讓企業(yè)從實(shí)戰(zhàn)中找出網(wǎng)絡(luò)與系統(tǒng)中存在的疏漏和失效點(diǎn)，從而對(duì)現(xiàn)有安全設(shè)備、人員安全意識(shí)、安全防御體系的有效性等進(jìn)行量化評(píng)估。

　　同時(shí)，這也很容易讓人聯(lián)想到大家已經(jīng)耳熟能詳?shù)呐渲煤瞬椤⒙┒磼呙杌驖B透測(cè)試，BAS是否是新瓶裝舊酒？一一來(lái)看：

　　配置核查

　　一種合規(guī)性核查，遵從某種預(yù)設(shè)的政策或標(biāo)準(zhǔn)，檢查應(yīng)有的安全措施是否齊全；而B(niǎo)AS更側(cè)重關(guān)注這些措施是否真的在發(fā)揮應(yīng)有的作用，所謂從安全合規(guī)到安全有效性驗(yàn)證的跨越。

　　漏洞掃描

　　漏洞利用只是攻擊鏈路中的一個(gè)環(huán)節(jié)，發(fā)現(xiàn)漏洞還遠(yuǎn)不到展現(xiàn)網(wǎng)絡(luò)威脅態(tài)勢(shì)全貌的階段；BAS更關(guān)注全局的評(píng)估，包括整體的脆弱性、漏洞利用的熱度和難易、漏洞所在資產(chǎn)的價(jià)值等綜合全面的風(fēng)險(xiǎn)因素。

　　滲透測(cè)試

　　單點(diǎn)攻擊路徑的人工驗(yàn)證，是縱向的從外部進(jìn)入到內(nèi)部的過(guò)程；BAS模擬的是整個(gè)攻擊面的測(cè)試，還包括暴露面的探測(cè)、內(nèi)部的橫向移動(dòng)，安全策略的驗(yàn)證等，是一個(gè)更加自動(dòng)、持續(xù)、智能的過(guò)程。

　　BAS用在哪？

　　因此，BAS大幅提升了以往的審計(jì)、測(cè)試、管理類(lèi)安全手段的水平，以更加常態(tài)化、實(shí)戰(zhàn)化、自動(dòng)化、全局化的視野來(lái)評(píng)估度量網(wǎng)絡(luò)安全體系的有效性，可以說(shuō)是安全建設(shè)之后的一種安全運(yùn)營(yíng)手段。在數(shù)字化轉(zhuǎn)型持續(xù)推進(jìn)的當(dāng)下，暴露面擴(kuò)大、未知威脅激增，可以預(yù)見(jiàn)BAS將迎來(lái)廣闊的用武之地，對(duì)于CSO而言是提升團(tuán)隊(duì)實(shí)戰(zhàn)能力、為決策層呈現(xiàn)組織安全態(tài)勢(shì)的有效解決方案。結(jié)合目前及目之所及的未來(lái)安全形勢(shì)，BAS的應(yīng)用場(chǎng)景正逐漸明晰：

　　攻防演練

　　大型攻防演練活動(dòng)成為新常態(tài)，企業(yè)需要保持一個(gè)持續(xù)的、且處于較高水準(zhǔn)的安全狀態(tài)。引入BAS技術(shù)可以確定可能的威脅和攻擊路徑，及時(shí)收斂暴露面，驗(yàn)證部署的安全設(shè)備是否在發(fā)揮作用，優(yōu)化安全策略，以進(jìn)行主動(dòng)防御。

　　安全驗(yàn)證

　　安全作為一種隱性投資，很難量化其價(jià)值，不僅是決策層和業(yè)務(wù)團(tuán)隊(duì)看不清安全投入的必要性，安全團(tuán)隊(duì)自身也需要明確安全部署是否合理且有效。作為業(yè)務(wù)的保障，安全配置經(jīng)常跟隨業(yè)務(wù)做出調(diào)整，就此埋下的錯(cuò)誤和缺陷是一大隱患。BAS提供的持續(xù)的有效性驗(yàn)證是讓安全價(jià)值可度量、安全效果可視化的良好方法。

　　安全評(píng)估

　　新興技術(shù)的應(yīng)用、IT架構(gòu)的迭代、特定業(yè)務(wù)環(huán)境的搭建等是引入未知風(fēng)險(xiǎn)的敞口，需要對(duì)其進(jìn)行合規(guī)檢查、安全評(píng)估，作為日常審計(jì)、漏掃、滲透測(cè)試等傳統(tǒng)方案的補(bǔ)充手段，BAS從實(shí)戰(zhàn)經(jīng)驗(yàn)角度基于事實(shí)和數(shù)據(jù)推測(cè)實(shí)網(wǎng)對(duì)抗的攻防可能性與對(duì)抗有效性。

　　BAS落地了嗎？

　　據(jù)安全419觀察，雖仍處于技術(shù)的早期成熟階段，國(guó)內(nèi)關(guān)注并研究BAS相關(guān)技術(shù)的安全廠商正勢(shì)如破竹，為BAS的落地應(yīng)用提供不同的解決方案。

　　● 華云安靈刃·智能滲透與攻擊模擬系統(tǒng)Ai·Bot，以攻擊視角通過(guò)對(duì)抗性手段發(fā)現(xiàn)企業(yè)真實(shí)攻擊面，通過(guò)模擬攻擊者對(duì)目標(biāo)網(wǎng)絡(luò)環(huán)境進(jìn)行安全測(cè)試，找到系統(tǒng)中可能存在的弱點(diǎn)并通過(guò)智能分析引擎將攻擊鏈路直觀呈現(xiàn)。同時(shí)將情報(bào)和圖譜模型能力運(yùn)用在BAS和CART技術(shù)上，實(shí)現(xiàn)用人工智能驅(qū)動(dòng)的模擬迭代攻擊測(cè)試，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)、憑證信息、源代碼、供應(yīng)鏈等外源弱點(diǎn)與內(nèi)部戰(zhàn)法模型的結(jié)合，以業(yè)務(wù)角度進(jìn)行攻擊影響進(jìn)行評(píng)價(jià)。

　　● 知其安離朱安全驗(yàn)證平臺(tái)，通過(guò)自動(dòng)化的閉環(huán)手段，最新、最全、最真實(shí)的驗(yàn)證用例和場(chǎng)景，持續(xù)對(duì)企業(yè)縱深防御體系的有效性進(jìn)行實(shí)時(shí)、全面的驗(yàn)證，為企業(yè)面對(duì)真實(shí)攻擊的防御檢測(cè)能力進(jìn)行度量，幫助企業(yè)及時(shí)了解和掌握當(dāng)前安全防御的有效性和防護(hù)水平，第一時(shí)間發(fā)現(xiàn)防護(hù)檢測(cè)能力缺失點(diǎn)，快速調(diào)整規(guī)則策略和安全部署，全面提升安全運(yùn)營(yíng)能力。

　　● 墨云科技Vackbot智能自動(dòng)化攻擊模擬平臺(tái)，基于人工智能技術(shù)，通過(guò)“網(wǎng)絡(luò)攻防知識(shí)＋數(shù)據(jù)模型算法”雙賦能驅(qū)動(dòng)，實(shí)現(xiàn)“黑客視角”入侵與攻擊模擬的網(wǎng)絡(luò)安全檢測(cè)與驗(yàn)證平臺(tái)，可以自動(dòng)持續(xù)地進(jìn)行實(shí)戰(zhàn)化網(wǎng)絡(luò)攻擊模擬，通過(guò)攻擊殺傷鏈構(gòu)建攻擊路徑并量化風(fēng)險(xiǎn)，幫助客戶高效定位潛在的安全隱患與脆弱性，準(zhǔn)確驗(yàn)證安全縱深防御體系的有效性。

　　從技術(shù)實(shí)踐和經(jīng)驗(yàn)轉(zhuǎn)化角度觀察，聚焦于攻擊面管理、安全驗(yàn)證、新一代安全運(yùn)營(yíng)等領(lǐng)域，以及長(zhǎng)期專(zhuān)注在攻防對(duì)抗、脆弱性評(píng)估、風(fēng)險(xiǎn)管理等方面的安全廠商在實(shí)踐BAS技術(shù)上將更具有優(yōu)勢(shì)，我們也將持續(xù)觀察行業(yè)中更多優(yōu)秀的BAS解決方案，為企業(yè)提升安全運(yùn)營(yíng)效果提供有力參考。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<