什么是入侵和攻击模拟(BAS)? 

入侵与攻击仿真(BAS)是一种数据安全的过程 安全运营中心(SOC) 对攻击者可能破坏企业网络的各种途径(或载体)的安全状态保持警惕. 保持组织防御的当前“实力状态”可能是被挫败和成功的区别.

根据Gartner®, “BAS工具通过自动测试外部和内部等威胁向量,使组织能够更深入地了解安全态势漏洞, 横向运动, 数据泄露. BAS补充了红队和渗透测试,但不能完全取代它们.”

最后一个想法是至关重要的,因为它强调了利用一套全面的网络完整性测试工具的重要性,以确保强大的安全态势,可以抵御来自复杂攻击者的最新威胁. 网络安全 提供商通常提供攻击模拟工具、平台和服务套件.

事件响应(IR) 这些供应商的人员通常会使用最新和最相关的泄露场景来执行威胁模拟会话,帮助他们的客户了解泄露过程. 这包括确定关键的证据来源, 进行模拟通信, 并提供仿真后优化建议.

BAS工具是如何工作的? 

BAS工具通过与某些攻击者策略保持一致来工作, 技术, 和程序(TTPs),以便组织可以运行特定的模拟,以确定其响应行动的有效性,并在这些情况下创建/自动化剧本.

具体地说, Gartner的州 即“使用技术或服务功能的自动验证”, 例如入侵和攻击模拟(BAS), 或者自动化渗透测试工具将:

  • 评估 通过确认攻击者确实可以利用先前发现的和优先级暴露,可能的“攻击成功”. 
  • 估计 通过超越初始足迹并分析所有潜在攻击路径到关键业务资产的“最高潜在影响”.
  • 识别 如果响应和修复已确定问题的流程对业务来说足够快和足够."

由此我们可以推断,验证和速度可能是BAS和其他攻击模拟工具的两个最关键的方面. 后一个方面——速度——回避了有关劳动力能力的问题. 那些专业是 威胁检测和响应 能够有效地采取行动,尽其所能消除威胁,并限制潜在的后果?

BAS工具可以在不可避免的事情发生之前帮助识别这些差距区域, 在某种程度上. 任何组织都不希望在没有应对攻击的技能的情况下猝不及防.

当然, 许多安全组织根本没有能力解决这些技能差距, 特别是在任何一种及时的方式-因此采用的上升趋势 托管安全服务提供商(mssp).

BAS与其他网络安全测试有何不同? 

BAS与其他网络安全测试的不同之处在于,它是对安全组织在同样或更复杂的攻击事件中抵御和获胜的能力的更复杂的评估.

对于安全涉众来说,要知道哪个解决方案最适合测试他们的防御和响应准备情况是很困难的, 那么让我们来看看主要功能之间的一些区别.

漏洞评估

A 漏洞评估 将扫描整个组织网络的漏洞,但不试图利用它们. 此功能是安全团队的核心操作, 这通常是初步了解网络在攻击面前有多脆弱的最好方法. 脆弱性评估后, 组织有责任决定如何进行优先级排序和补救.

渗透测试 

虽然这不是一个简单的过程,但网络安全公司将执行一个 渗透测试(pentest) 专门寻找客户网络中的漏洞, 试图利用它们, 确定组织的整体风险. 此过程是公司安全控制的重要组成部分, 希望能激励组织对所有发现的漏洞采取广泛的补救措施. 它不会, 然而, 自动化特定的外部攻击者策略,而不是发现这些漏洞.

红色的合作 

红队攻击模拟侧重于组织的防御, 检测, 以及响应能力. 红队操作员通常会执行现实世界的对抗行为和常用的http,以便组织可以衡量其安全计划的有效性. 然而,BAS和红队之间的主要区别在于自动化vs .自动化. 真实的人. BAS自动化了真实世界攻击者行为的过程,而Red teams则雇佣真人来执行模拟攻击.

为什么企业需要入侵和攻击模拟? 

企业需要BAS,因为他们的IT和安全专业人员应该始终了解他们的入侵响应能力的当前状态和强度. 在这个时代,soc需要考虑更多的存在性问题,例如: 

  • 在复杂的、有针对性的攻击下,组织面临的真正风险是什么? 
  • 检测和响应(D&R)能力达到标准? 
  • 安全工程师和分析师准备好保护关键资产了吗? 

最好的方法是彻底了解逃避的地方, 防守, IT和安全组织的补救能力是执行压力测试, 也被称为入侵和攻击模拟.

网络安全风险管理 程序可以结合像BAS这样的方法, 其中, 红队等,使SOC可以降低整体网络风险,并实现更强大的安全态势,以更好地应对攻击.

额外的技术 

其他技术有更精细的方法来测试红外准备情况. “粘蜜罐”,例如,可以作为诱饵 威胁的演员 也是对SOC应对这种威胁的准备程度的重要考验.

有些测试方法是针对特定领域的,比如物联网(IoT)安全测试. 从测试实际硬件到设备网络渗透测试, 在攻击模拟中也可以考虑公司的物联网活动.

入侵和攻击模拟的好处是什么? 

除了降低网络风险, 启用了bas的透明性可以提供哪些主要好处? 让我们来看看网络本身的潜力. 

  • 可重复的过程: BAS产品运行自动化测试. 这意味着它们可以根据安全组织优先考虑的网段连续重复. 
  • 报告和安全趋势: BAS产品通常标配报告功能,这样组织就可以了解他们在特定领域的得分情况,并发现趋势——令人不安的或其他的——这样他们就可以做出相应的纠正.
  • 确定优先顺序并采取行动:如果确实确定了趋势, 或者某些领域是至关重要的, 优先排序将成为一个更快的过程,使更果断的行动或取消.
  • 合规: BAS流程可以帮助安全组织与不断发展的状态保持一致, 联邦, 或者特定地区的规定.
  • 供应链合作伙伴了解网络的哪些部分更容易受到攻击,不仅有助于组织加强其防御和网络保护协议, 它还为其供应链合作伙伴和供应商带来了安全信心.

了解网络漏洞和弱点的当前状态可以帮助减轻当前和未来的安全复杂性,从而使正常业务成为标准,而不是安全紧急情况.