一、概述
全称Breach and Attack Simulation,翻译为入侵和攻击模拟。Gartner定义:BAS是通过不断的模拟针对不同资产的攻击,验证安全防守的有效性。
二、概要分析
1. 需求分析
一般地,在安全建设成熟阶段,需量化地评估安全防御能力,比如安全设备有效性验证,安服人员实战水平,安全投资的回报率如何,后期安全建设依据等。
个人认为比较重要的一点是:在出现新型APT攻击、勒索病毒、挖矿病毒时,BAS可根据可靠的威胁情报,自动化在当前网络环境中进行模拟攻击。举个例子,在发生0day漏洞后,安全厂商会推出相应补丁包,从用户视角需要快速验证此补丁在面对真实攻击时的有效性。
2.对比分析
对比配置核查区别:可以与单点设备用来验证安全设备的错误配置核查
对比渗透测试区别:如Gartner定义中描述,BAS是针对不同资产持续化地攻击、且自动化程度高;另外BAS可覆盖ATT&CK框架等模型的攻击阶段:资产暴露面探测、外部突破(社工钓鱼、防护绕过、漏洞利用)、内网横向移动提权、持久化控制(webshell植入/管理等)。 而渗透测试一般是人工对某个或某些系统做攻击路径验证的技术过程,点到为止,没有BAS那么广泛深入;
对比攻防演练区别:演练中人员因素影响剧本质量及数量,且比较强调红蓝队,没有面向整体防御体系;
对比靶场的区别:BAS在实际环境中模拟,靶场完全1:1复现有难度且场景有限;
对比HVV的区别:HVV是临时性的,阶段性的,BAS是常态化的、实时的且持续的,可检测到环境中防御能力的变化。
3.可用性分析
BAS可与自动化工作流进行有机集成,诸如SOAR、SIEM等,来实现应对各种场景下的工作流流程,实现处置及事件调查取证功能。此外,还可以将Endpoint、Network和SIEM的事件与模拟攻击结合关联,BAS平台更智能化地判断模拟攻击生效情况,节省时间。
BAS支持本地部署及SaaS模式部署,支持win、lin和macos系统,完全符合不同行业的业务系统需求。也可以预定义一些行业热点问题场景进行一键模拟验证。
三、主要能力
BAS核心能力在于评估方案和剧本的积累,其中不乏攻击手段(例如链式攻击、流量重放、可自定义等)、恶意样本库、安全维度等(如:网络安全、主机安全、数据安全、邮件安全、AD安全、云安全、物联网、API安全、应用安全等)。
此外,针对整条攻击链条的模拟,涉及的agent越少越好,链条越全面越好;同时,BAS自身的安全性以及在实际模拟中不能损害用户业务系统。部分模拟无法无害化,则要通过沙箱环境进行。BAS一般不引入靶机,除了靶机本身有漏洞风险外,加上攻击机则占用双倍资源。
四、其他相关(国内外厂商及技术栈说明)
Refer:
《2022-2028全球与中国突破和攻击模拟(BAS)工具市场现状及未来发展趋势》