“采用BAS服务的组织正在加强其薄弱面的修复。BAS可以帮助网络安全团队使用攻击者的先进技术发现和纠正安全态势中的差距。‘以牙还牙’战略提供了关键的安全成果:加强网络防御,帮助IT/安全团队更好、更快地完成他们的工作。”
2017年开始,Gartner就开始关注BAS技术,认为未来3-5年将成为最火爆的安全技术。随着时间的推移,BAS已经在海外混得风生水起,但在国内安全市场虽然还是新兵蛋子一枚。BAS翻译过来是入侵和攻击模拟,去年4季度BAS成为Gartner最关注的八大安全技术趋势之一。在2021年的Gartner的安全技术成熟度曲线中,位于最受期待技术的位置。
在Gartner的定义中,BAS是通过不断的模拟针对不同资产的攻击,验证安全防守的有效性。BAS翻译过来是“入侵和攻击模拟“,很容易让人认为这是不是就是渗透测试。如果从释义上来说,也容易和配置安全核查混淆。
首先,我们把BAS和“配置核查“区分一下,配置核查是合规性的检查,打个比方就如等级保护和MITRESHIELD,等级保护是合规性的防护技术要求,SHIELD是实战的防御技战术框架。
其次,我们看看BAS和渗透测试的区别,渗透测试是一个技术过程,是针对单个系统进行的攻击路径的验证,目前往往是人工进行。而BAS模拟的是整个面的攻击测试,不仅面向单个业务系统,还针对服务暴露面进行探测、不仅要外部进行突破、还要考虑进入网络后的内网横移、对安全设备进行策略的有效性进行验证等,同时这个过程是一个自动化的、持续的检测过程。我们可以看到BAS的概念涵盖的面更广泛,更实时,更自动化、更智能化。
一、关于入侵和攻击模拟(BAS)
BAS技术的关键能力
-
测试向量(路径,如电子邮件网关、端点和web应用程序防火墙)作为获得访问系统和资源的路径的能力。
-
按需连接和转换数据,从而统一安全工具,以帮助确保正确地实现、配置和调整工具。
-
能够提供关于攻击生命周期和攻击者可能执行的操作的动态视图。
-
评估私有和公共云环境对入侵后攻击和横向移动的弹性。
-
授权红/紫/蓝团队,通过模拟攻击提高网络安全弹性。
-
统一威胁情报、漏洞管理和攻击模拟。
-
建模指向关键资产的攻击路径。