来源:https://www.itpro.co.uk/security/penetration-testing/354645/what-is-breach-and-attack-simulation-bas
随着组织试图领先网络犯罪分子一步,入侵和攻击模拟 (Breach Attack Simulation,BAS) 作为一种测试网络弹性的方式越来越受欢迎。该技术用于自动发现组织网络安全中的弱点,有点像自动化、持续的渗透测试。
到2027年,全球 BAS 市场预计将达到16.8 亿美元——比 2018 年的数字增长 37.8%——主要是由于随着漏洞管理变得越来越复杂,需要优先考虑安全投资。
此外,在Gartner最近的一份报告中,入侵和攻击模拟技术被强调为CISO考虑的最佳解决方案之一,因为它可以有效地测试已知威胁。
但什么是入侵和攻击模拟,企业如何使用它们?
一、不同类型的入侵和攻击模拟
BAS 是一种新兴技术,它运行模拟自动攻击,模仿可能由网络犯罪分子部署的攻击。这些“假装”攻击可以帮助公司识别安全系统中的潜在漏洞,并测试检测和预防能力。
根据 Cymulate 的说法,BAS 技术分为三大类,具体取决于所需的方法。
第一个是基于代理的漏洞扫描器。与使用 SSH 等协议远程访问网络设备不同,此方法涉及直接在目标设备本身上运行代理以测试它们是否存在已知漏洞。这些代理部署在组织的 LAN 内并分布在多台机器上,其目标是绘制攻击者在网络中移动的潜在路线。
第二种 BAS 通过在内部网络内生成“恶意”流量来测试组织的安全性。虚拟机设置在网络内部,用作测试目标,使用攻击场景数据库。BAS 在这些机器之间发送攻击,然后检查组织的安全解决方案是否能够检测和阻止流量。
第三类包括多向量模拟攻击,是可以部署的最先进、最逼真的模拟类型。这种“黑匣子”方法将轻量级代理放在网络中的工作站上。通常基于云,评估利用不同类型的攻击策略来尝试绕过组织 LAN 内部和外部的安全措施
二、入侵和攻击模拟技术的优缺点
BAS 的一大优势是自动化方面。与一次性测试相比,员工可能对问题更加警觉,安排测试并经常由工具自动执行,这意味着可以快速发现和处理潜在的弱点。
自动化测试在网络不断变化的大型组织中特别有用,尤其是在部署新工具、更新软件或将运营扩展到新位置的情况下。定期测试可以快速有效地识别复杂网络的问题,并且可以将一些 BAS 技术设置为持续运行,这意味着几乎可以立即发现漏洞。
然而,人类网络专家在如何部署攻击方面通常更具创造性。BAS 的测试范围有限,只能运行已知的攻击模拟。这就是为什么渗透测试——由训练有素的安全专家运行的模拟攻击来探测业务系统的漏洞——与 BAS 相比可能会发现不同的问题。
还有一种危险是,IT 团队可能最终会因 BAS 的持续通知而过载,尤其是在没有简单的方法将日常问题与重要警报区分开来的情况下。
与许多安全工具一样,入侵和攻击模拟并不是一个全面的解决方案,不同的工具根据它们的部署方式有不同的用途。然而,作为综合网络安全战略的一部分,BAS 可以发挥重要作用,尤其是随着技术的成熟和 BAS 供应商不断发展他们的产品。
https://www.immuniweb.com/resources/breach-attack-simulation/
一、什么是入侵攻击模拟 (BAS)?
入侵攻击模拟(或简称 BAS)是一种新的安全技术,可以自动发现基础设施中的漏洞。事实上,BAS 和自动渗透测试之间有很多共同点。新的 Breach Attack Simulation 是评估安全可靠性、演示可能的攻击方法、识别现有安全问题的最常用方法之一。
传统的渗透测试需要很大一部分人的参与,并以一定的频率和短时间内进行。他们的结果反映了测试时记录的静态图片。Breach Attack Simulation 是一个不断增长的工具市场,这些工具可以定期执行自动化安全测试并减少人工时间。
由于 BAS 技术相对较新,网络安全市场的解决方案可能会有所不同。有一些解决方案专注于攻击模拟本身。其他解决方案可以模拟综合攻击,具有分析企业在攻击和攻击后阶段的响应的能力。因此,主要问题是为此选择哪些工具。
二、为什么需要入侵攻击模拟?
通常,网络安全测试与两种机制相关联:这是最简单的应用渗透测试和红队。标准渗透测试由个别专家或一组专家执行,他们扮演黑客的角色,试图渗透组织的信息系统并寻找获取有价值信息的方法。这种对渗透方式的搜索显示了哪些漏洞可以成为黑客的起点,但并没有给出攻击将如何演变以及防御系统将如何成功抵抗它的概念。
了解这些限制后,渗透测试人员尝试使用自动化工具作为漏洞扫描器、漏洞利用工具包等。这些都是成熟的技术,尤其是搜索已知的OWASP 软件漏洞,即使是家庭用户也可以长期利用这些漏洞,因为许多防病毒供应商在其产品中都包含此组件。它相对便宜且快速,易于自动化,并且在大型更新数据库的帮助下,扫描仪能够检测到数以千计的错误,直到最近被网络犯罪分子实际使用。
反过来,红队是对常规渗透测试的改进,它通过更细致、深入和现实的测试克服了它的一些缺点。进行此类研究的专家重现了攻击者旨在访问信息基础设施并在其中站稳脚跟的整个行动范围。
在这两种情况下(常规渗透测试和红队),安全性都是手动检查的,但使用自动软件工具来促进这项任务。每个测试都给出了一个狭窄的静态图片,仅显示了基于一种场景在单个时间点绕过保护的能力。这两种方法,尤其是常规渗透测试,为全面评估安全策略和整个安全系统的有效性提供的机会相对较少。
三、入侵攻击模拟的特点是什么?
许多网络安全专家认为,Breach Attack Simulation 就像渗透测试,只是更好,因此常规渗透测试最终将被 BAS 类别的解决方案所取代。同时,红队和BAS并不相互排斥,原则上,即不仅相互竞争,而且相辅相成。一般来说,它们可以被称为通向一个目标的两条路径。同时,BAS 的一些功能可以让你克服 Red Team 的一些固有缺陷。
从本质上讲,BAS 是传统渗透测试向自动化渗透测试的演变。在这里,仍然重现了不法分子的行为,但是,人类几乎完全被排除在验证过程之外,因为一旦启动,测试工具就会根据给定的场景进行攻击动作,并有条不紊地将保护系统暴露给整个范围方向和黑客方法,直到它找到漏洞并且不会达到预期的结果。但是,通常不需要购买和部署硬件和软件,学习使用漏洞包等。
Breach Attack Simulation 通常以 SaaS 云服务的形式存在,因此只需租用它们并按一下按钮即可激活。除了更易于使用之外,BAS 还便于定期检查,因为它不需要聘请专家。对于验证,您只需按计划运行独立工作任务并研究结果。此类产品的创建者通常特别关注报告的生成方式和测试结果的呈现方式。
通过这种方式,您可以清楚地看到每次渗透尝试导致了什么,并得出应该加强保护系统的结论。这种方法的关键思想是确保一致和持续的安全测试,自动模拟不同的攻击选项,并允许您监控人员和 IT 基础设施如何应对威胁。由于 Breach Attack Simulation 在攻击的微妙性和类别方面可能不如 Red Team 方法,但另一方面,由于可能问题的覆盖范围广,包括非常奇特的问题,因此优于 Red Team 方法,因此这些评估方法安全相辅相成。
由于 Breach Attack Simulation 方式相对较新,现有解决方案在功能和技术上存在显着差异。模拟攻击的载体非常多样化,例如它们的预定义模式,并且某些产品允许您评估风险级别并提供消除已识别威胁的建议,同时考虑到法规遵从性。大多数解决方案都可以作为云服务使用,有些是在本地部署的。
一些 Breach Attack Simulation 提供的服务需要安装代理,其他的则无需安装代理,但也有类似的功能范围。BAS产品使企业能够独立、持续地评估自身的安全性,通过模拟各个方向的攻击来检查安全机制。示例包括网络钓鱼邮件、从内部网络泄露机密信息的建模案例、模拟网络攻击、恶意活动。
四、您从入侵攻击模拟中得到了什么?
威胁的评估始于保护成本与损害受保护信息和服务不可用可能造成的损失之间的相关性。例如,如果组织不需要根据任何法规处理个人数据,那么通常的漏洞扫描和定期渗透测试就足够了。在其他情况下,需要更彻底地检查安全工具的可靠性。如果企业收集和存储重要的个人数据,则不应仅依赖经典的漏洞扫描程序。
尽管自动模拟攻击的解决方案越来越受欢迎,但 BAS 不太可能完全取代传统的渗透测试。然而,这种类型的产品可以显着改变实际安全市场,因为与手动渗透测试相比,它们提供了一种更快、更便宜的安全评估方法。该红色组队增强了传统的渗透测试的能力,以及入侵模拟攻击自动化了,让您保持安全稳定控制下,监视在同一时间的所有关键的攻击媒介,并确保所有信息保护工具的配置和完全按照他们应该的方式运行。
因此,这为用户提供了更具代表性的测试结果,因为分析越深入、越规律,我们对保护可靠性的理解就越完整。因此,使用违规攻击模拟进行持续安全评估可以显着提高公司 IT 基础设施的实际安全水平。
其他:https://blogs.idc.com/2021/04/29/breach-attack-and-simulation-a-critical-tool-to-test-the-efficacy-of-security-controls/
https://blog.cymulate.com/what-is-breach-attack-simulation
网友评论