信息化觀察網(wǎng)

本文來自微信公眾號“GoUpSec”。

入侵與攻擊模擬（BAS）是指通過自動化方式模擬外部或內(nèi)部威脅的攻擊鏈條，幫助企業(yè)了解和評估自身網(wǎng)絡(luò)安全狀況的產(chǎn)品或服務(wù)。2017年，Gartner《面向威脅技術(shù)的成熟度曲線》中首次出現(xiàn)入侵與攻擊模擬(BAS)分類。

BAS通常使用MITRE ATT&CK和Cyber Killchain等框架來模擬網(wǎng)絡(luò)滲透、橫向移動、網(wǎng)絡(luò)釣魚、端點(diǎn)和網(wǎng)關(guān)攻擊、惡意軟件以及勒索軟件等攻擊手段，測試企業(yè)防御系統(tǒng)能否抵御這些攻擊。

BAS市場近年來快速增長，根據(jù)Global Information的《2024年自動化BAS全球市場報告》，BAS市場規(guī)模將從2023年的5.1億美元擴(kuò)大到2024年的7億美元，復(fù)合年增長率高達(dá)36.8%。

BAS與紅隊測試有何不同？

與紅隊測試和滲透測試相比，BAS是性質(zhì)不同的補(bǔ)充手段。BAS用于驗證安全措施的有效（例如檢查門鎖是否損壞以及監(jiān)控攝像頭能否偵測到可疑人物）；而紅隊測試或滲透測試更像是聘請專業(yè)人員嘗試闖入房子并竊取保險柜，并在這個過程中找出防御系統(tǒng)的漏洞。因此，簡單來說，BAS可以用于檢查現(xiàn)有的安全控制措施是否運(yùn)行良好，而滲透測試則會發(fā)現(xiàn)安全控制遺漏的盲區(qū)，這些盲區(qū)正是攻擊者可能用來實(shí)施攻擊的切入點(diǎn)。

除了外部攻擊之外，BAS模擬還可以利用憑證和內(nèi)部知識來模擬內(nèi)部威脅。此外，BAS與攻擊面評估(ASA)相輔相成。ASA側(cè)重于發(fā)現(xiàn)所有潛在的漏洞和攻擊載體，而BAS則專注于確保企業(yè)安全控制（例如端點(diǎn)檢測和響應(yīng)(EDR)）的正常運(yùn)行。Gartner將這些技術(shù)歸為更廣泛的暴露管理類別（不同的分析機(jī)構(gòu)對此類術(shù)語的定義可能略有差異）。

BAS市場兩大趨勢：整合與智能化

Constellation Research的分析師Chirag Mehta表示，BAS市場的參與者包括專業(yè)BAS產(chǎn)品供應(yīng)商、提供BAS和滲透測試等相關(guān)服務(wù)的廠商，以及將BAS納入其更廣泛網(wǎng)絡(luò)安全產(chǎn)品組合的大型網(wǎng)絡(luò)安全廠商或服務(wù)提供商。未來，BAS市場可能會出現(xiàn)進(jìn)一步的整合。

Gartner預(yù)測，到2026年，超過40%的企業(yè)將依靠整合平臺或托管服務(wù)提供商來驗證或評估網(wǎng)絡(luò)安全防護(hù)能力。例如，從提供XDR服務(wù)的供應(yīng)商處獲取BAS服務(wù)。但這種方式存在一個潛在問題：企業(yè)可能并不希望由同一家供應(yīng)商既提供防御能力，又測試這些防御能力是否有效。

Mehta指出：“如果你擁有可以模擬攻擊的工具，那么下一步就是阻止這些攻擊的發(fā)生。”但這需要不同類型的工具之間進(jìn)行集成，并非易事。

與其他網(wǎng)絡(luò)安全細(xì)分市場一樣，BAS市場的另一個重要趨勢是融合人工智能技術(shù)，BAS供應(yīng)商們正在積極尋求將生成式人工智能集成到他們的產(chǎn)品中。

Forrester Research的分析師Erik Nost表示：“當(dāng)你研究漏洞與攻擊模擬供應(yīng)商的產(chǎn)品時，你會發(fā)現(xiàn)其中已經(jīng)包含了很多機(jī)器學(xué)習(xí)。”他認(rèn)為，生成式人工智能是未來發(fā)展方向。生成式人工智能最有可能首先出現(xiàn)在用戶界面領(lǐng)域。Nost表示：“生成式人工智能的新穎之處在于它能夠以一種非常酷的方式與數(shù)據(jù)進(jìn)行交互。”未來，我們還可能會看到利用人工智能模擬基于情報的威脅，或者基于用戶最感興趣的攻擊類型或最有可能影響他們公司的攻擊類型。生成式人工智能還可以幫助企業(yè)理解BAS發(fā)現(xiàn)的問題，確定問題的優(yōu)先級并建議具體補(bǔ)救措施。

合規(guī)需求推動BAS普及

根據(jù)Gartner的說法，BAS的典型客戶是金融機(jī)構(gòu)和保險公司。但是隨著網(wǎng)絡(luò)安全監(jiān)管的不斷加強(qiáng)，越來越多的公司面臨著合規(guī)要求，這些要求側(cè)重于測試網(wǎng)絡(luò)安全控制措施的有效性。

網(wǎng)絡(luò)安全公司Sygnia的對抗戰(zhàn)術(shù)總監(jiān)Ilia Rabinovich認(rèn)為，BAS仍然是一款價格昂貴的產(chǎn)品，預(yù)算或運(yùn)營能力有限的小型企業(yè)不會購買此類產(chǎn)品。

BAS產(chǎn)品的八個關(guān)鍵產(chǎn)品力

企業(yè)在選擇BAS工具時應(yīng)重點(diǎn)考量以下產(chǎn)品功能和特性：

●能夠模擬針對企業(yè)的各種攻擊的典型攻擊載體。

●使用諸如MITRE ATT&CK等框架的逼真攻擊場景，這些場景類似于攻擊者實(shí)際使用的攻擊手段。

●可定制的場景，用于測試基礎(chǔ)架構(gòu)的獨(dú)特之處。

●自動化測試，以便能夠定期高效地運(yùn)行模擬測試，而不會影響運(yùn)營或需要額外的人員。

●詳細(xì)的報告和分析，幫助解釋測試結(jié)果并識別需要改進(jìn)的領(lǐng)域。

●能夠擴(kuò)展到當(dāng)前和未來企業(yè)環(huán)境的規(guī)模和復(fù)雜性。

●能夠跨越生產(chǎn)環(huán)境中的混合環(huán)境進(jìn)行測試，這對于識別控制措施在真實(shí)世界條件下的性能至關(guān)重要。

●易于使用和部署。

九大熱門BAS產(chǎn)品點(diǎn)評

企業(yè)技術(shù)研究公司Expert Insights對九大頂級BAS供應(yīng)商的產(chǎn)品進(jìn)行了評測，主要評估標(biāo)準(zhǔn)包括威脅模擬、報告細(xì)化程度和集成易用性等關(guān)鍵功能。這九大BAS（供應(yīng)商）產(chǎn)品分別是：AttackIQ、Cymulate、Fortinet FortiTester、Mandiant Red Team Assessment、NetSPI Breach and Attack Simulation、Picus Security、RedScan Breachand Attack Simulation、ReliaQuest GreyMatter Verify和SafeBreach Breach and Attack Simulation平臺。

九大BAS產(chǎn)品各自的優(yōu)勢和產(chǎn)品能力點(diǎn)評如下：

AttackIQ

AttackIQ的核心仿真平臺根據(jù)MITRE ATT&CK框架復(fù)制對手的戰(zhàn)術(shù)、技術(shù)和程序。其最近推出的第二代托管數(shù)據(jù)安全演練服務(wù)平臺Ready!，使企業(yè)能夠更快地部署持續(xù)安全驗證程序。AttackIQ還提供Flex按需無代理測試服務(wù)，按結(jié)果收費(fèi)。

Cymulate

Cymulate是一家領(lǐng)先的持續(xù)威脅暴露管理供應(yīng)商，被Gartner同行評審列為頂級供應(yīng)商。Cymulate使用MITREATT&CK框架，以其可用性和用戶體驗而著稱。其SaaS解決方案可在三到四周內(nèi)完成集成和部署，計劃利用生成式AI縮短這一時間。

Fortinet FortiTester

FortiTester提供MITRE ATT&CK仿真測試、基于CVE的IPS測試和DDoS流量生成，能夠模擬各種類型的流量，包括SSL、DDoS和自定義流量。

Mandiant

Mandiant以其威脅情報服務(wù)而聞名，同時通過其Mandiant Advantage Security Validation軟件提供數(shù)據(jù)安全演練。該軟件集成了MITRE ATT&CK框架映射、自動化環(huán)境漂移檢測和警報以及真實(shí)世界攻擊仿真。

NetSPI

NetSPI以滲透測試聞名，提供控制驗證、檢測漏洞和攻擊面管理服務(wù)。其生成式AI功能可優(yōu)先推薦最有價值的測試。

Picus Security

Picus獲得了Gartner的“客戶選擇”獎，其平臺包括自動化滲透測試和攻擊面管理，并投資于AI以提供定制化的安全建議。

RedScan Breach and Attack Simulation

RedScan以其托管檢測和響應(yīng)以及滲透測試服務(wù)而聞名，提供定制化的攻擊模擬和專業(yè)建議。

ReliaQuest GreyMatter Verify

GreyMatter Verify提供打包且經(jīng)過實(shí)地測試的攻擊場景，頻繁更新基于最新威脅情報的攻擊模擬，適合中型企業(yè)。

SafeBreach

SafeBreach以與其他安全工具的集成和豐富的攻擊方法庫而聞名，幫助Netflix、PayPal等客戶測試安全控制的有效性，并提供風(fēng)險降低的成本評估。