行业新闻与博客

根据 Research and Markets 的数据，到 2025年，预计将累计花费超过 1 万亿美元用于信息安全

正如 Research and Markets 的估计所显示的那样令人震惊，这并不令人感到意外，因为网络攻击变得如此猖 that，以至于它们现在被视为全球威胁。公司争先恐后地采用各种安全解决方案，以缓解黑客目前采用的各种攻击方法。

一些商业领袖认为，他们部署的工具越多，它们受到的保护就越好。但是，他们通常忽略了测试部署的解决方案是否真正起作用或防御范围是否具有攻击者可以利用的空白的需求。鲜明的现实是，黑客只需一个漏洞即可渗透您的网络。

幸运的是，现在可以通过多种测试方法来检查防御。您可以执行漏洞扫描，渗透测试，部署红色和蓝色团队以及执行突破和攻击模拟（BAS）。前两种方法很棒，但是有局限性。这就是为什么使用 BAS 技术成为流行的测试方法的原因。

但是什么是 BAS？BAS 平台究竟如何工作，它们如何帮助发现您的网络防御中的漏洞？

为什么存在安全漏洞？

简而言之，没有完美的技术。包括操作系统，应用程序甚至安全解决方案在内的软件通常都包含可被攻击者利用的错误。由于软件应用程序会不断接收更改和更新，因此总是有可能将缺陷引入您的网络。

此外，执行不力是另一个风险。对于某些组织和 IT 团队来说，急于采用安全工具是很常见的。这样做时，设置安全解决方案时可能会忽略某些步骤或配置。如果部署不当，即使是最昂贵的顶级解决方案也可能变得毫无用处。

例如，您可能已制定了最严格的防火墙策略，以防止黑客从外部破坏您的网络。但是，如果缺乏端点保护，则恶意软件仍然有可能进入您的网络。例如，如果粗心的工作人员将受感染的 USB 拇指驱动器插入工作站，则恶意软件很容易从那里传播。

网络安全漏洞：我们通常如何发现差距

为了找到这些差距，至关重要的是，定期在自己的网络上发动进攻，以测试您的防御能力。通常，这是通过以下安全验证方法完成的：

• 漏洞扫描。您可以使用漏洞扫描程序来识别基础结构组件中的各种漏洞。他们可以检查网络中发现的过时软件，开放端口和过期证书。


• 渗透测试。通过渗透测试，测试人员可以通过采用现实世界黑客采用的类似策略，来查看他们在破坏您的网络方面能走多远。


• 红色和蓝色分组。这就像在您的基础架构上玩的战争游戏一样。红色团队通过试图破坏您的系统来扮演黑客的角色。蓝队通过阻止红队进攻成功来为您辩护。

但是，这些方法有局限性。漏洞扫描的报告通常仅列出发现的漏洞，使您能够找出需要采取哪些措施来解决问题。此外，它们还可能产生误报，并标记可能对安全性没有太大影响的某些问题。

但是，渗透测试和红色团队是资源密集型活动。尽管渗透测试工具（例如 Metasploit 和 Kali）是免费的，但测试仍然必须由高技能的安全专业人员进行。这些测试的有效性在很大程度上取决于这些人的技能。单个网络渗透测试的成本很容易达到 5,000 美元，而这一估计值处于最低水平。不用说，例行执行此类测试可能会非常昂贵，尤其是在安全预算有限的情况下。

什么是突破和攻击模拟（BAS）？

据 Cymulate 称，BAS 平台通过允许用户执行各种自动化和可定制的模拟攻击来进行全面的安全验证，从而简化了测试。突破和攻击模拟是企业和其他大型组织模仿并更好地了解现实世界网络攻击的一种好方法。BAS 技术可帮助组织在网络安全中实现自动化，并允许组织执行一致的评估，同时占用更少的资源。

尽管 BAS 技术已经存在了很多年，但 Gartner 在其 2017年的《面向威胁的技术的炒作圈》（Hype Circle for Threat-Faceing Technologies，2017）报告中似乎使用了这一术语：

“突破和攻击模拟（BAS）技术使用代理和其他方式来模拟针对企业基础架构的攻击。BAS 可以有效地模拟内部威胁，横向移动或数据泄露技术，而不会给其他测试方法固有的生产环境带来风险。”

BAS 的工作原理：概述

突破和攻击模拟旨在通过使用户易于轻松，快速地对其安全控制进行检查来改进传统的测试方法。从某种意义上说，BAS 可以看作是漏洞扫描和渗透测试的组合，打包成“自己动手”解决方案。

现在，BAS 平台大部分都可以作为软件即服务（SaaS）使用。这些基于云的应用程序托管可自动执行测试的各种模块，这与渗透测试不同，在渗透测试中，实际的人力资源执行了黑客尝试。使用 BAS，通常会将软件代理安装在网络中的计算机上，该计算机负责在测试期间与云解决方案进行交互。

从技术上讲，模拟攻击使用专门配置为触发和监视安全解决方案的响应的恶意软件和黑客工具。但是，与来自现实世界网络攻击的恶意软件不同，BAS 中使用的恶意软件不会对您的基础架构造成真正的损害。

突破和攻击模拟的精髓

BAS 有几种测试各种攻击媒介的方法以及保护它们的解决方案：

• 测试您的电子邮件防御。破坏和攻击模拟平台向您的电子邮件服务发送各种消息，其中包含不同类型的受感染文件附件（例如，恶意软件，勒索软件，蠕虫和其他负载）。这可以测试电子邮件过滤器，防病毒软件和消毒解决方案。


• 识别浏览器和网站防御中的漏洞。该平台通过 HTTP / HTTPS 协议连接到包含恶意表格和脚本的虚拟网站和页面。这些测试可以检查哪些页面经过了 Internet 安全筛选器，以及端点保护是否可以阻止恶意文件被浏览器成功下载。


• 检查防火墙的强度。该平台可以攻击特定的 URL（例如您公司的 Web 门户或应用程序），以找到规避保护它的防火墙的方法。它测试防火墙是否可以阻止传入的恶意流量。为了将这些攻击提升到一个新的水平，BAS 还可以尝试挖掘敏感信息并执行跨站点脚本（XSS）和注入攻击，以破坏防火墙。


• 测试常见的社会工程策略。BAS 可以在您自己的电子邮件系统上启动虚拟网络钓鱼活动，以模拟社会工程学攻击。可以针对真实性进行自定义的网络钓鱼电子邮件将发送给组织内的真实用户。该测试检查用户是否会真正点击恶意链接。这可以帮助您确定哪些员工需要更多的社会工程意识培训。


• 测试端点安全解决方案的有效性。BAS 平台可以检查恶意软件（包括病毒，勒索软件，间谍软件和蠕虫）是否能够在工作站上存在并执行。他们还可以测试并确定恶意软件如何在您的设备中传播。这使您可以验证解决方案是否可以检测并阻止恶意软件在网络中的传播。


• 确定潜在的网络攻击媒介。BAS 还可以模拟攻击者成功破坏您的网络的方案。此模拟可帮助您查看攻击者是否可以利用漏洞利用，特权升级和通过哈希验证要求来横向移动设备。该平台还可以测试是否可以窃取数据并将其发送到网络外部的目的地。

一些 BAS 技术借鉴了 MITER ATT＆CK 之类的知识库，作为黑客可以采用的许多可能的策略和技术的参考。这使得模拟攻击尽可能地切合实际。

BAS 技术功能，报告和建议

突破和攻击模拟的测试结果以综合报告和记分卡的形式出现，可识别基础架构组件之间的差距和漏洞。它们还提供有关您的解决方案在模拟攻击下的性能表现的好坏信息。

但是，结果不仅提供了漏洞列表，还提供了有关如何弥补漏洞并增强防御能力的建议。

有时候，能够“设置并忘记它”是一件很不错的事情。因此，BAS 平台还允许计划测试的事实，可以帮助您确保重要的测试模拟不是介于裂缝之间的任务。这样，您可以定期检查您的任何安全措施是否失败或遭受任何故障和停机。

某些工具甚至提供通知和警报功能，以警告您新出现的漏洞和威胁。这样，您可以随时了解是否有任何组件受到影响。

在组织内使用 BAS 的优势

虽然 BAS 平台本质上结合了常规网络安全测试和评估方法的功能，但与它们相比，它拥有一些优势。这些优势包括：

• 全面性。尽管渗透测试和红色分组通常受测试人员同意的范围限制，但 BAS 允许对所有潜在载体进行更广泛的测试。BAS 甚至可以扩大这两种方法的规模，因为它允许重复和连续的测试，而这是常规方法很难做到的。


• 可操作性。漏洞扫描通常仅列出发现的漏洞，要求您先筛选并理解信息，然后才能实际执行任何操作。BAS 在报告中提供了可行的见解，因此您可以立即对安全措施进行更有针对性的调整。


• 及时性。渗透测试和红色团队练习必须进行协调和安排。随着软件和系统接收每日更新，这些测试的报告可能很快就会过时。由于 BAS 测试可以快速得出结果，因此可以为您提供更准确的防御情况。


• 便利和易用。许多 BAS 平台都是直观的，提供易于使用的界面和仪表板。这意味着您不必成为熟练的白帽黑客，即可查看您的防御措施是否脆弱。某些服务可作为基于云的平台使用，这使您基本上可以在任何地方运行测试。


• 成本效益。尽管不一定便宜，但 BAS 允许按需和按计划运行多个测试。渗透测试和红队演习很难一时兴起，而这样做通常会带来很大的代价。即使是每月进行一次渗透测试，每年也很容易花费数万美元。BAS 没有这样的限制，因为它使用自动仿真。

由于这些优势，许多 IT 团队现在热衷于使用 BAS。预计采用率将增加，甚至到 2027年该领域的价值将达到 16.8 亿美元。

关于违反和攻击模拟的最终思考

切勿使您陷入虚假的安全感。仅仅因为您购买了“企业级”安全解决方案，并不意味着您的防御能力就很强大。连续测试对于确保基础架构的安全至关重要。幸运的是，现在可以使用 BAS 平台，使您能够进行及时而准确的测试，而无需高级技术专家或庞大的笔试预算。

使用 BAS 来测试防御措施将使您能够最大程度地利用网络安全投资，并确保始终受到保护。

本文由机器译制