简析入侵和攻击模拟(BAS)技术的关键能力与价值
作者: 日期:2022年06月17日 阅:1,230

随着网络攻击的不断增加,企业亟需寻找到合适的解决方案以应对威胁攻击。那么,解决方案的有效性成为众多企业需要考虑的首要问题,否则最初的预想将不会成立。基于此,越来越多的企业开始采用入侵和攻击模拟BAS技术来对应用的安全性进行持续攻击模拟,以验证解决方案的有效性,从而确保应用的安全性。本文主要对BAS技术的关键能力和价值进行分析。

能力 1 攻击技术和APT覆盖

随着攻击技术的不断升级,攻击者开始使用越来越多的攻击工具对应用漏洞进行挖掘和利用,进而展开攻击。而BAS技术参考MITRE ATT&CK框架等知识库可以覆盖APT高级威胁的攻击战术、技术和程序。

图1 攻击的三个主要阶段

在实际应用中,攻击者主要通过如下三个阶段完成攻击进程:

预渗透阶段:收集有关目标组织的信息以计划未来的攻击行动,即资产信息探测收集,漏洞扫描发现。

利用阶段:对发现漏洞进行攻击投递(社工钓鱼等),试图绕过防护,对漏洞进行利用。

后渗透阶段:试图获得更高级别的权限,即利用漏洞来提升访问权限,并在目标环境中移动,即使用合法凭证在多个系统中进行流转,与受感染系统通信以控制它们,即模仿正常的网络流量与受害网络通信,从而操纵、中断或破坏系统和数据,即使用勒索软件加密数据。

BAS通过绘制黑客采用的潜在技术和策略,使模拟攻击变得更加符合实际:

• BAS利用可执行的攻击方法,不断地验证所有防御措施,以应对MITRE的各种ATT&CK威胁。

• 通过不断模拟入侵方法并映射到MITRE ATT&CK框架,BAS暴露出安全工具配置错误或未安装补丁时出现的漏洞。

• BAS在不影响数据和破坏实际生产环境的情况下,会在生产环境中运行,以确保准确性。

而且,企业上云的进程不断加快,BAS技术可以解决针对公共和私有云基础设施(IaaS)的攻击,包括IAM、网络、存储和管理员访问的控制平面,避免了云计算堆栈中横向移动、系统滥用、特权升级和运行未经批准的进程问题。此外,BAS技术平台还可以覆盖网络、端点、云和电子邮件的主要攻击面,避免了安全控制中的错误配置。前面我们也讲到,BAS是漏扫、渗透测试等手段的有效补充,通过持续性攻击模拟入侵,可以更好地发现并防范未知威胁,规避了更多威胁的产生。

能力 2 易于使用和生态系统集成

通常情况下,BAS将通过模拟攻击来测试每个解决方案有效性,避免黑客进行渗透、利用主机、横向移动和窃取数据。它简化了手动验证或调优渗透测试系统的繁琐过程。而且,BAS还具有集成能力,可以更好地应用在实践中。

1)安全事件的自动化分析技术集成BAS可以与端点、网络和SIEM解决方案集成,以自动将安全事件与模拟攻击关联起来。这为安全团队在分析和搜索关键事件和识别漏洞方面节省了大量时间。有效的集成使BAS平台能够自动确定模拟的攻击是否被安全生态系统阻止、检测或完全绕过。

2)与自动化工作流和过程集成BAS可与SOAR、SIEM等紧密集成工作流程,以实现自动违规修复。与工作流系统的集成可用于触发其他流程,用于指导问题缓解和补救所需的信息收集、配置更改。

能力 3 优先处理

由于BAS平台将持续运行数十万种入侵方法,以在已知的TTP上测试所有安全解决方案和控制的有效性,这将产生许多警报和缓解建议。而与端点、网络和SIEM解决方案的集成对于将事件自动关联到适当的安全控制至关重要。诸如风险评分、热点图和网络暴露图等功能可以帮助安全团队查看和量化需要重点修复的领域。

BAS可以将威胁按类别分组,如网络、web、端点和电子邮件,并展示出来,然后按业务风险进行排序,将缓解措施放在堆栈中进行优先排序。安全团队可以根据优先级进行补救,以改善业务风险情况。

能力 4 易于部署

目前,受行业需求背景的不同,例如金融服务、医疗保健、政府等某些行业一般要求本地化或者私有云部署,而某些互联网行业希望SaaS部署,以实现轻量级。不管是哪种需求,BAS都可以满足,因为它既可以SaaS模式部署,也可以本地化部署,完全符合业务系统需求。

此外,BAS还可以部署在云的环境中,不管是公有云、私有云还是混合云,完全适应企业上云的趋势,而且可以满足Windows、Linux和MacOS系统的需求。

入侵和攻击模拟BAS技术虽然不是最新的技术,却是近年被热点关注的技术。随着越来越多企业的涉足使用,BAS的关键能力也会被众多企事业单位所熟知,其验证和风险评估能力也会被凸显出来。不得不说,其已有不可替代的趋势。

文章来源:供应链安全

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章