屡获Gartner推崇 BAS能为企业提供什么安全价值?
2022-11-19
来源:安全419
2017年,Gartner在《面向威胁技术的成熟度曲线》报告中首次提出了BAS(Breach and Attack Simulation),并将其纳入新兴技术行列。2021年,Gartner发布《2021安全运营技术成熟度曲线》报告,明确BAS是“顶级安全和风险管理趋势”。2022年,Gartner最新报告《2022中国安全成熟度曲线》再次重点阐述BAS,将其归到快速上升阶段的萌芽期技术之一。
BAS是什么?
根据Gartner的定义,BAS通过自动化模拟外部和内部、横向移动和数据泄露等威胁向量,使企业更好地了解其安全薄弱点。BAS是对红队或渗透测试的补充,但并不能完全取代两者。BAS技术通过部署软件代理、虚拟机、云平台和其他手段来运行模拟威胁,进而提供模拟攻击组合的能力来验证企业的安全防御体系的有效性。
BAS译为入侵与攻击模拟,顾名思义,这是一种以攻促防、验证安全、提升安全的运营手段。
首先,这种思维与传统安全防御的逻辑有明显区别,传统安全一般是以经验模型为指导,企业防护建设基本都依赖于安全设备进行防守,对安全运营缺乏体系性的评估手段。BAS则是从攻击者的角度出发,通过持续进行的威胁和攻击模拟,让企业从实战中找出网络与系统中存在的疏漏和失效点,从而对现有安全设备、人员安全意识、安全防御体系的有效性等进行量化评估。
同时,这也很容易让人联想到大家已经耳熟能详的配置核查、漏洞扫描或渗透测试,BAS是否是新瓶装旧酒?一一来看:
配置核查
一种合规性核查,遵从某种预设的政策或标准,检查应有的安全措施是否齐全;而BAS更侧重关注这些措施是否真的在发挥应有的作用,所谓从安全合规到安全有效性验证的跨越。
漏洞扫描
漏洞利用只是攻击链路中的一个环节,发现漏洞还远不到展现网络威胁态势全貌的阶段;BAS更关注全局的评估,包括整体的脆弱性、漏洞利用的热度和难易、漏洞所在资产的价值等综合全面的风险因素。
渗透测试
单点攻击路径的人工验证,是纵向的从外部进入到内部的过程;BAS模拟的是整个攻击面的测试,还包括暴露面的探测、内部的横向移动,安全策略的验证等,是一个更加自动、持续、智能的过程。
BAS用在哪?
因此,BAS大幅提升了以往的审计、测试、管理类安全手段的水平,以更加常态化、实战化、自动化、全局化的视野来评估度量网络安全体系的有效性,可以说是安全建设之后的一种安全运营手段。在数字化转型持续推进的当下,暴露面扩大、未知威胁激增,可以预见BAS将迎来广阔的用武之地,对于CSO而言是提升团队实战能力、为决策层呈现组织安全态势的有效解决方案。结合目前及目之所及的未来安全形势,BAS的应用场景正逐渐明晰:
攻防演练
大型攻防演练活动成为新常态,企业需要保持一个持续的、且处于较高水准的安全状态。引入BAS技术可以确定可能的威胁和攻击路径,及时收敛暴露面,验证部署的安全设备是否在发挥作用,优化安全策略,以进行主动防御。
安全验证
安全作为一种隐性投资,很难量化其价值,不仅是决策层和业务团队看不清安全投入的必要性,安全团队自身也需要明确安全部署是否合理且有效。作为业务的保障,安全配置经常跟随业务做出调整,就此埋下的错误和缺陷是一大隐患。BAS提供的持续的有效性验证是让安全价值可度量、安全效果可视化的良好方法。
安全评估
新兴技术的应用、IT架构的迭代、特定业务环境的搭建等是引入未知风险的敞口,需要对其进行合规检查、安全评估,作为日常审计、漏扫、渗透测试等传统方案的补充手段,BAS从实战经验角度基于事实和数据推测实网对抗的攻防可能性与对抗有效性。
BAS落地了吗?
据安全419观察,虽仍处于技术的早期成熟阶段,国内关注并研究BAS相关技术的安全厂商正势如破竹,为BAS的落地应用提供不同的解决方案。
● 华云安灵刃·智能渗透与攻击模拟系统Ai·Bot,以攻击视角通过对抗性手段发现企业真实攻击面,通过模拟攻击者对目标网络环境进行安全测试,找到系统中可能存在的弱点并通过智能分析引擎将攻击链路直观呈现。同时将情报和图谱模型能力运用在BAS和CART技术上,实现用人工智能驱动的模拟迭代攻击测试,实现对敏感数据、凭证信息、源代码、供应链等外源弱点与内部战法模型的结合,以业务角度进行攻击影响进行评价。
● 知其安离朱安全验证平台,通过自动化的闭环手段,最新、最全、最真实的验证用例和场景,持续对企业纵深防御体系的有效性进行实时、全面的验证,为企业面对真实攻击的防御检测能力进行度量,帮助企业及时了解和掌握当前安全防御的有效性和防护水平,第一时间发现防护检测能力缺失点,快速调整规则策略和安全部署,全面提升安全运营能力。
● 墨云科技Vackbot智能自动化攻击模拟平台,基于人工智能技术,通过“网络攻防知识+数据模型算法”双赋能驱动,实现“黑客视角”入侵与攻击模拟的网络安全检测与验证平台,可以自动持续地进行实战化网络攻击模拟,通过攻击杀伤链构建攻击路径并量化风险,帮助客户高效定位潜在的安全隐患与脆弱性,准确验证安全纵深防御体系的有效性。
从技术实践和经验转化角度观察,聚焦于攻击面管理、安全验证、新一代安全运营等领域,以及长期专注在攻防对抗、脆弱性评估、风险管理等方面的安全厂商在实践BAS技术上将更具有优势,我们也将持续观察行业中更多优秀的BAS解决方案,为企业提升安全运营效果提供有力参考。
更多信息可以来这里获取==>>电子技术应用-AET<<