《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 屢獲Gartner推崇 BAS能為企業(yè)提供什么安全價值?

屢獲Gartner推崇 BAS能為企業(yè)提供什么安全價值?

2022-11-19
來源:安全419
關鍵詞: Gartner BAS

  2017年,Gartner在《面向威脅技術的成熟度曲線》報告中首次提出了BAS(Breach and Attack Simulation),并將其納入新興技術行列。2021年,Gartner發(fā)布《2021安全運營技術成熟度曲線》報告,明確BAS是“頂級安全和風險管理趨勢”。2022年,Gartner最新報告《2022中國安全成熟度曲線》再次重點闡述BAS,將其歸到快速上升階段的萌芽期技術之一。

  BAS是什么?

  根據(jù)Gartner的定義,BAS通過自動化模擬外部和內部、橫向移動和數(shù)據(jù)泄露等威脅向量,使企業(yè)更好地了解其安全薄弱點。BAS是對紅隊或滲透測試的補充,但并不能完全取代兩者。BAS技術通過部署軟件代理、虛擬機、云平臺和其他手段來運行模擬威脅,進而提供模擬攻擊組合的能力來驗證企業(yè)的安全防御體系的有效性。

  BAS譯為入侵與攻擊模擬,顧名思義,這是一種以攻促防、驗證安全、提升安全的運營手段。

  首先,這種思維與傳統(tǒng)安全防御的邏輯有明顯區(qū)別,傳統(tǒng)安全一般是以經(jīng)驗模型為指導,企業(yè)防護建設基本都依賴于安全設備進行防守,對安全運營缺乏體系性的評估手段。BAS則是從攻擊者的角度出發(fā),通過持續(xù)進行的威脅和攻擊模擬,讓企業(yè)從實戰(zhàn)中找出網(wǎng)絡與系統(tǒng)中存在的疏漏和失效點,從而對現(xiàn)有安全設備、人員安全意識、安全防御體系的有效性等進行量化評估。

  同時,這也很容易讓人聯(lián)想到大家已經(jīng)耳熟能詳?shù)呐渲煤瞬?、漏洞掃描或滲透測試,BAS是否是新瓶裝舊酒?一一來看:

  配置核查

  一種合規(guī)性核查,遵從某種預設的政策或標準,檢查應有的安全措施是否齊全;而BAS更側重關注這些措施是否真的在發(fā)揮應有的作用,所謂從安全合規(guī)到安全有效性驗證的跨越。

  漏洞掃描

  漏洞利用只是攻擊鏈路中的一個環(huán)節(jié),發(fā)現(xiàn)漏洞還遠不到展現(xiàn)網(wǎng)絡威脅態(tài)勢全貌的階段;BAS更關注全局的評估,包括整體的脆弱性、漏洞利用的熱度和難易、漏洞所在資產的價值等綜合全面的風險因素。

  滲透測試

  單點攻擊路徑的人工驗證,是縱向的從外部進入到內部的過程;BAS模擬的是整個攻擊面的測試,還包括暴露面的探測、內部的橫向移動,安全策略的驗證等,是一個更加自動、持續(xù)、智能的過程。

  BAS用在哪?

  因此,BAS大幅提升了以往的審計、測試、管理類安全手段的水平,以更加常態(tài)化、實戰(zhàn)化、自動化、全局化的視野來評估度量網(wǎng)絡安全體系的有效性,可以說是安全建設之后的一種安全運營手段。在數(shù)字化轉型持續(xù)推進的當下,暴露面擴大、未知威脅激增,可以預見BAS將迎來廣闊的用武之地,對于CSO而言是提升團隊實戰(zhàn)能力、為決策層呈現(xiàn)組織安全態(tài)勢的有效解決方案。結合目前及目之所及的未來安全形勢,BAS的應用場景正逐漸明晰:

  攻防演練

  大型攻防演練活動成為新常態(tài),企業(yè)需要保持一個持續(xù)的、且處于較高水準的安全狀態(tài)。引入BAS技術可以確定可能的威脅和攻擊路徑,及時收斂暴露面,驗證部署的安全設備是否在發(fā)揮作用,優(yōu)化安全策略,以進行主動防御。

  安全驗證

  安全作為一種隱性投資,很難量化其價值,不僅是決策層和業(yè)務團隊看不清安全投入的必要性,安全團隊自身也需要明確安全部署是否合理且有效。作為業(yè)務的保障,安全配置經(jīng)常跟隨業(yè)務做出調整,就此埋下的錯誤和缺陷是一大隱患。BAS提供的持續(xù)的有效性驗證是讓安全價值可度量、安全效果可視化的良好方法。

  安全評估

  新興技術的應用、IT架構的迭代、特定業(yè)務環(huán)境的搭建等是引入未知風險的敞口,需要對其進行合規(guī)檢查、安全評估,作為日常審計、漏掃、滲透測試等傳統(tǒng)方案的補充手段,BAS從實戰(zhàn)經(jīng)驗角度基于事實和數(shù)據(jù)推測實網(wǎng)對抗的攻防可能性與對抗有效性。

  BAS落地了嗎?

  據(jù)安全419觀察,雖仍處于技術的早期成熟階段,國內關注并研究BAS相關技術的安全廠商正勢如破竹,為BAS的落地應用提供不同的解決方案。

  ● 華云安靈刃·智能滲透與攻擊模擬系統(tǒng)Ai·Bot,以攻擊視角通過對抗性手段發(fā)現(xiàn)企業(yè)真實攻擊面,通過模擬攻擊者對目標網(wǎng)絡環(huán)境進行安全測試,找到系統(tǒng)中可能存在的弱點并通過智能分析引擎將攻擊鏈路直觀呈現(xiàn)。同時將情報和圖譜模型能力運用在BAS和CART技術上,實現(xiàn)用人工智能驅動的模擬迭代攻擊測試,實現(xiàn)對敏感數(shù)據(jù)、憑證信息、源代碼、供應鏈等外源弱點與內部戰(zhàn)法模型的結合,以業(yè)務角度進行攻擊影響進行評價。

  微信圖片_20221119173147.jpg

  ● 知其安離朱安全驗證平臺,通過自動化的閉環(huán)手段,最新、最全、最真實的驗證用例和場景,持續(xù)對企業(yè)縱深防御體系的有效性進行實時、全面的驗證,為企業(yè)面對真實攻擊的防御檢測能力進行度量,幫助企業(yè)及時了解和掌握當前安全防御的有效性和防護水平,第一時間發(fā)現(xiàn)防護檢測能力缺失點,快速調整規(guī)則策略和安全部署,全面提升安全運營能力。

  ● 墨云科技Vackbot智能自動化攻擊模擬平臺,基于人工智能技術,通過“網(wǎng)絡攻防知識+數(shù)據(jù)模型算法”雙賦能驅動,實現(xiàn)“黑客視角”入侵與攻擊模擬的網(wǎng)絡安全檢測與驗證平臺,可以自動持續(xù)地進行實戰(zhàn)化網(wǎng)絡攻擊模擬,通過攻擊殺傷鏈構建攻擊路徑并量化風險,幫助客戶高效定位潛在的安全隱患與脆弱性,準確驗證安全縱深防御體系的有效性。

  微信圖片_20221119173152.jpg

  從技術實踐和經(jīng)驗轉化角度觀察,聚焦于攻擊面管理、安全驗證、新一代安全運營等領域,以及長期專注在攻防對抗、脆弱性評估、風險管理等方面的安全廠商在實踐BAS技術上將更具有優(yōu)勢,我們也將持續(xù)觀察行業(yè)中更多優(yōu)秀的BAS解決方案,為企業(yè)提升安全運營效果提供有力參考。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。