近日,第十届互联网安全大会(ISC2022)打造的网络安全行业万人元宇宙峰会拉开序幕,同步上线十大元宇宙数字安全论坛。悬镜安全作为特邀嘉宾参加“实战驱动下的安全运营论坛”,技术合伙人李浩在线上分享了悬镜在帮助企业用户落地积极防御体系过程中对BAS(入侵与攻击模拟)技术的创新和应用。以下为演讲实录:
RSAC2018大会正式提出黄金管道(Golden Pipeline)软件流水线实践体系,强调CI/CD(持续集成/持续交付)自动化工具链支撑。在CD管道,Bug Bounty(漏洞赏金)工具就是BAS技术应用的其中一个方向。
图1 CI/CD黄金管道工具链
BAS作为前沿技术,入选了Gartner发布的2021年八大安全和风险管理趋势,其实践价值主要在于模拟人工的红蓝对抗,或者以风险评估的方式实现安全度量,即通过自动化模拟入侵和攻击,从而持续性地验证企业组织防御策略的有效性。
对BAS技术最早期的认知是作为一种黑盒测试技术。回顾黑盒的发展历程,第一代是漏洞扫描工具,以爬虫技术对静态页面做解析,通过模拟Payload发送POC请求,再用匹配响应的方式去猜测应用系统是否存在风险。
图2 黑盒技术发展历程
后来随着APP、小程序这类使用接口的程序出现,很难利用爬虫技术去爬取url链接,于是升级到