访谈嘉宾：刘兵

分析师：王剑桥

Gartner将BAS（Breach and Attack Simulation，入侵与攻击模拟）定义为：允许企业使用软件代理、虚拟机和其它方式，模拟外部或内部威胁的攻击链条（包括外部渗入、横向移动和数据渗出等）模型，持续且一致地通过对企业安全基础架构模拟攻击的安全风险验证技术。2021年开始，BAS技术逐步在用户环境落地和应用，国内以BAS为核心产品的创业公司也开始崭露头角。BAS的应用价值在哪里？企业应该如何应用BAS？近日，安全牛采访了墨云科技创始人刘兵，就BAS技术的应用与价值等话题展开探讨。

刘兵

获华中科技大学计算机软件工程专业硕士，深耕网络安全行业16年，于2017年创办墨云科技，拥有多年安全产品规划与设计经验，专注人工智能技术在网络安全攻防领域的应用研究。

01

安全牛

2017年，Gartner就提出了BAS的概念。经过5年多的发展，目前该技术在国内的关注度和应用实践情况如何？

刘兵

BAS是一种自动化的、持续的入侵和攻击模拟技术支撑手段，通过对网络安全防护系统的有效性进行持续验证，对组织的网络安全防御态势进行持续评估，从而改善网络安全防御体系效能。

从国际范围来看，BAS技术目前已经有了较为成熟的应用，但这个技术在我国企业的应用实践中还较新，目前还未得到广泛运用。Gartner在2017年首次提出BAS的概念，并在发布的《2021安全运营技术成熟度曲线》中，把BAS技术应用调整为高优先级，而在去年发布的《2022年8大网络安全和风险管理趋势》报告中，Gartner又再次提及了BAS。由此可见，BAS作为一种不会对企业真实业务环境造成影响的无损检测评估技术，正逐步成为网络安全管理风险的发展新趋势。

墨云科技是国内较早进入该领域的企业，目前已能够提供较成熟的BAS技术解决方案。从2021年开始，国内多家安全厂商开始布局BAS方向的产品与解决方案，BAS技术也逐渐被更多企业用户所关注，从理念提出到实践，中国的BAS技术应用正按照Gartner预测的方向发展。未来，BAS技术的应用需求或将迎来爆发式增长。

02

安全牛

BAS技术具备哪些关键能力，与传统的自动化渗透测试有何区别？目前，BAS技术在研发中的主要挑战又是什么？

刘兵

在Gartner的安全运营分类中，将自动化渗透测试工具和BAS区分为两个不同的独立技术。自动化渗透测试的对象是企业的内外网络、主机、操作系统、应用等IT资产，发现其可能被利用的漏洞和攻击路径链；而BAS主要对企业已有的安全防护能力、安全配置和防护策略的有效性进行测试和验证，对纵深防御体系进行全局评估，帮助安全运营团队掌握防御体系的短板和关键风险。此外，自动化渗透测试是直接对企业业务系统进行攻击，可能会对其业务造成影响，而BAS是在模拟环境中进行攻击测试，不会对企业的真实业务开展造成影响，因此更适用于对生产网安全有高要求的企业。

从技术结构和框架来看，BAS由管理端和模拟端两个主要部分组成。在管理端，BAS的关键能力是编排和调度能力，例如进行攻击方式、攻击路径的编排，以及根据实际攻击执行情况的动态调度等；模拟端的核心能力则是通过Agent构建1：1的仿真环境，并执行具体的模拟攻击。 

目前，BAS技术在研发中的主要挑战在于需要适应不同行业客户多样化的业务环境，这也是衡量最终BAS产品好坏的一个关键性指标。BAS是一个相对完整的验证体系，一款成熟的BAS产品可以直接为用户提供解决方案。BAS形成的报告或方案十分明确，用户可以根据方案调整策略、修改配置、下载补丁、修复漏洞等，优化网络安全防护体系。未来，BAS或将与一些防护产品联动，实现自动化的安全防护策略调优。

03

安全牛

如何判断一款BAS产品在技术上是否成熟？企业在部署应用BAS技术前需要做哪些准备？

刘兵

评价BAS产品的技术成熟度，应主要考虑其对企业应用需求的满足度和实际应用环境中的适用性。构建成熟的、可落地的BAS应用方案，需要安全厂商具有较丰富的经验积累与实践能力。如果一个安全厂商的BAS产品能够适配不同行业、不同场景客户的应用需求，那就标志着该产品步入相对成熟的发展状态。目前，墨云所研发的BAS技术是一种通用型方案，可适用于多种行业企业的不同应用场景中，用户可根据实际情况选择合适的攻击模拟场景，是一种十分便捷且安全的攻击模拟测试手段。

此外，企业还可以通过购买服务的形式获得Saas化的BAS安全验证服务。不过，BAS作为一种持续性的有效性验证测试方式，建议企业在有条件的情况下，以采购可本地化部署的BAS产品为主。

04

安全牛

BAS会成为未来主流应用的安全技术吗？其产品演进方向会是什么？

刘兵

目前可以看到越来越多的安全厂商加入到BAS产品研发领域。同时，更多的企业用户也在向我们咨询BAS技术及产品和解决方案。我们相信，BAS将成为下一代安全评估技术，也会成为主流应用的安全技术，以弥补传统安全评估的不足。BAS对传统的网络安全服务最大的颠覆就是智能化和自动化，减少测试对于人工的依赖，实现7*24小时的自动化检测。所以，如何让人工智能技术更加成熟的应用于BAS技术，是我们所努力的方向，也是多数BAS企业共同的课题。