版權(quán)聲明本報(bào)告為北京谷安天下科技有限公司(以下簡稱“本公司”)旗下媒體平臺(tái)安全牛研究撰寫,報(bào)為原著者所有。未經(jīng)本公司書面許可,任何組織和個(gè)人不得將本報(bào)告內(nèi)容作為訴訟、仲裁、傳媒所引用之證明或依據(jù),不得用于營利或用于未經(jīng)允許的其他用途。任何未經(jīng)授權(quán)的商業(yè)性使用本報(bào)告的行為均違反《中華人民共和國著作權(quán)法》及其他相關(guān)法律法規(guī)、國際條約。未經(jīng)授權(quán)或違法使用者需自行承擔(dān)由此引發(fā)的—切法律后果及相關(guān)責(zé)任,本公司將依法予以追究。免責(zé)聲明本報(bào)告僅供本公司的客戶或公司許可的特定用戶使用。本公司不會(huì)因接收人收到本報(bào)告而視其為本公司的當(dāng)然客戶。任何非本公司發(fā)布的有關(guān)本報(bào)告的摘要或節(jié)選都不代表本報(bào)告正式完整的觀點(diǎn),—切須以本公司發(fā)布的本報(bào)告完整版本為準(zhǔn)。本報(bào)告中的行業(yè)數(shù)據(jù)主要為分析師市場調(diào)研、行業(yè)訪談及其他研究方法估算得來,僅供參考。因調(diào)研方法及樣本、調(diào)查資料收集范圍等的限制,本報(bào)告中的數(shù)據(jù)僅服務(wù)于當(dāng)前報(bào)告。本公司以勤勉的態(tài)度、專業(yè)的研究方法,使用合法合規(guī)的信息,獨(dú)立、客觀地出具本報(bào)告,但不保證數(shù)據(jù)的準(zhǔn)確性和完整性,本公司不對本報(bào)告的數(shù)據(jù)和觀點(diǎn)承擔(dān)任何法律責(zé)任。同時(shí),本公司不保證本報(bào)告中的觀點(diǎn)或陳述不會(huì)發(fā)生任何變更。在不同時(shí)期,本公司可發(fā)出與本報(bào)告所載資料、意見及推測不—致的報(bào)告。本報(bào)告所包含的信息及觀點(diǎn)不構(gòu)成任何形式的投資建議或其他行為指引,亦未考慮特定用戶的個(gè)性化需求或投資目標(biāo)。用戶應(yīng)結(jié)合自身實(shí)際情況獨(dú)立判斷報(bào)告內(nèi)容的適用性,必要時(shí)應(yīng)尋求專業(yè)顧問意見。報(bào)告中涉及的評(píng)論、預(yù)測、圖表、指標(biāo)、理論等內(nèi)容僅供市場參與者及用戶參考,用戶需對其自主決策行為負(fù)責(zé)。本公司不對因使用本報(bào)告全部或部分內(nèi)容所產(chǎn)生的任何直接、間接、特殊及后果性損失承擔(dān)任何責(zé)任,亦不對因資料不完整、不準(zhǔn)確或存在任何重大遺漏所導(dǎo)致的任何損失負(fù)責(zé)。1 4關(guān)鍵發(fā)現(xiàn) 51.1當(dāng)前網(wǎng)絡(luò)安全威脅的趨勢 71.2網(wǎng)絡(luò)安全政策法規(guī)要求 81.3企業(yè)安全管理面對挑戰(zhàn) 2.1BAS的基本概念和發(fā)展 2.2BAS價(jià)值體現(xiàn)和必要性 2.3BAS與安全框架的關(guān)聯(lián) 3.1BAS的能力框架 3.2關(guān)鍵技術(shù) 3.3BAS量化指標(biāo)體系 4.1國外BAS市場和技術(shù)應(yīng)用現(xiàn)狀分析 434.2國內(nèi)BAS市場和技術(shù)應(yīng)用現(xiàn)狀分析 485.1AI賦能BAS驗(yàn)證應(yīng)用現(xiàn)狀 5725.2AI賦能BAS驗(yàn)證的不足與未來展望 場景—:安全產(chǎn)品有效性與防護(hù)覆蓋度的持續(xù)驗(yàn)證 場景二:縱深防御體系與攻擊鏈的整體效能評(píng)估 場景三:BAS驅(qū)動(dòng)安全運(yùn)營優(yōu)化 場景四:合規(guī)保障與安全產(chǎn)品采購決策 73場景五:提升人員安全意識(shí)與洞察未知威脅 專項(xiàng)場景六:護(hù)網(wǎng)演練前沿預(yù)演與實(shí)戰(zhàn)化準(zhǔn)備 76專項(xiàng)場景七:高級(jí)APT威脅與0day漏洞的防御驗(yàn)證 專項(xiàng)場景八:分子公司/上下級(jí)單位的安全能力驗(yàn)證 78專項(xiàng)場景九:云環(huán)境與復(fù)雜異構(gòu)網(wǎng)絡(luò)安全驗(yàn)證 80專項(xiàng)場景十:數(shù)據(jù)安全防護(hù)能力驗(yàn)證 7.1BAS實(shí)施原則 827.2BAS實(shí)施路線圖 7.3BAS實(shí)施:常見挑戰(zhàn)和策略 978.1場景—:安全產(chǎn)品防護(hù)能力驗(yàn)證場景 8.2場景二:縱深防御體系防護(hù)能力驗(yàn)證場景 8.3場景三:安全運(yùn)營驗(yàn)證場景 8.4場景四:合規(guī)保障驗(yàn)證和安全產(chǎn)品采購場景 8.5場景五:釣魚演練與風(fēng)險(xiǎn)洞察驗(yàn)證場景 1218.6專項(xiàng)場景六:攻防演練前驗(yàn)證場景 38.7專項(xiàng)場景七:高級(jí)APT威脅安全防護(hù)驗(yàn)證場景 8.8專項(xiàng)場景八:分子公司安全防護(hù)能力驗(yàn)證場景 8.9專項(xiàng)場景九:云環(huán)境安全防護(hù)能力驗(yàn)證場景 8.10專項(xiàng)場景十:數(shù)據(jù)安全防護(hù)能力驗(yàn)證場景 9.1優(yōu)秀案例—電力行業(yè)安全有效性驗(yàn)證案例(塞訊科技提供) 1389.2優(yōu)秀案例二某大型金融機(jī)構(gòu)有效性驗(yàn)證案例(矢安科技提供) 10.1廠商選型建議 10.2推薦廠商-長亭科技 10.3推薦廠商-華云安 10.4推薦廠商-綠盟科技 10.5推薦廠商-墨云科技 10.6推薦廠商-塞訊科技 10.7推薦廠商-矢安科技 10.8推薦廠商-知其安科技 10.9其他特色廠商 11.1未來趨勢 11.2建議 參考文獻(xiàn): 4隨著全球數(shù)字化轉(zhuǎn)型進(jìn)程的加速,使網(wǎng)絡(luò)邊界快速向外拓展,攻擊面不斷擴(kuò)大。與此同時(shí),網(wǎng)絡(luò)安全威脅正日趨復(fù)雜且持續(xù)升級(jí),攻擊者不再專注于單—手段,而是利用人工智能、零日漏洞以及供應(yīng)鏈缺陷及社會(huì)工程學(xué)等多種方式,構(gòu)建定制、多級(jí)化、組合化的攻擊工具鏈,對目標(biāo)系統(tǒng)進(jìn)行滲透與破壞。不斷演變的威脅格局使傳統(tǒng)基于簽名或規(guī)則的被動(dòng)防護(hù)系統(tǒng)難以有效應(yīng)對,尤其是面對未知威脅時(shí)的力不從心,對企業(yè)構(gòu)成了嚴(yán)峻的挑戰(zhàn)。我國高度重視網(wǎng)絡(luò)安全工作,構(gòu)建了《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(GB/T39204-2022)、等保2.0(GB/T22239-2019)等較為完善的網(wǎng)絡(luò)安全法律法規(guī),并明確提出了對安全防御措施有效性進(jìn)行驗(yàn)證的要求。此外,常態(tài)化護(hù)網(wǎng)行動(dòng)和實(shí)戰(zhàn)化攻防演練的普及,也促使企業(yè)從安全建設(shè)轉(zhuǎn)向?qū)崙?zhàn)化驗(yàn)證階段。但是,盡管國內(nèi)企業(yè)在網(wǎng)絡(luò)安全建設(shè)方面投入了大量資源,部署了多種安全產(chǎn)品,構(gòu)建起復(fù)雜的安全體系,但普遍存在投入與安全實(shí)際效果難以準(zhǔn)確計(jì)量和有效評(píng)估的困境,在攻防演練及中屢屢失守,安全事件頻發(fā)。企業(yè)亟需實(shí)戰(zhàn)化、常態(tài)化的驗(yàn)證工具,以實(shí)現(xiàn)從被動(dòng)防御向主動(dòng)免疫的轉(zhuǎn)型。在此背景下,入侵與攻擊模擬(BreachandAttackSimulation,簡稱BAS)技術(shù)應(yīng)運(yùn)而生,并迅速成為提升企業(yè)網(wǎng)絡(luò)安全態(tài)勢的核心驅(qū)動(dòng)力。BAS技術(shù)采用自動(dòng)化、常態(tài)化、無害化的方式,從攻擊者視角出發(fā),進(jìn)行高度仿真的攻擊模擬,能夠精準(zhǔn)揭示防御體系中的薄弱環(huán)節(jié),量化安全防護(hù)的實(shí)際效果,進(jìn)而驅(qū)動(dòng)安全運(yùn)營的持續(xù)優(yōu)化。為企業(yè)開辟了—條從被動(dòng)響應(yīng)轉(zhuǎn)向主動(dòng)免疫、從依賴經(jīng)驗(yàn)判斷走向數(shù)據(jù)驅(qū)動(dòng)的實(shí)踐路徑,正在深刻改變網(wǎng)絡(luò)安全的攻防博弈模式。針對上述背景、挑戰(zhàn)與實(shí)踐需求,本報(bào)告深入探討入侵與攻擊模擬的重要性、應(yīng)用面臨的挑戰(zhàn)及應(yīng)對策略,詳細(xì)介紹BAS的概念、能力框架、國內(nèi)主要應(yīng)用場景、具體實(shí)施落地方法,對近期優(yōu)秀案例進(jìn)行研究,并推薦優(yōu)秀廠商。旨在為組織提供實(shí)用、可落地、可實(shí)操的應(yīng)用指南,助力企業(yè)利用BAS提升網(wǎng)絡(luò)安全防護(hù)和實(shí)戰(zhàn)能力,顯著提高企業(yè)的安全防護(hù)水平與運(yùn)營效率,實(shí)現(xiàn)安全與業(yè)務(wù)的共贏發(fā)展,共同推動(dòng)中國網(wǎng)絡(luò)安全從有到優(yōu)、從被動(dòng)防御到主動(dòng)出擊的戰(zhàn)略跨越。5關(guān)鍵發(fā)現(xiàn)—、政策和實(shí)戰(zhàn)化驅(qū)動(dòng)l政策驅(qū)動(dòng)與實(shí)戰(zhàn)化轉(zhuǎn)型并行驅(qū)動(dòng):隨著中國網(wǎng)絡(luò)安全法律法規(guī)體系的不斷完善,以及常態(tài)化護(hù)網(wǎng)行動(dòng)和實(shí)戰(zhàn)化攻防演練的普及,企業(yè)安全建設(shè)逐漸從傳統(tǒng)的合規(guī)建設(shè)向強(qiáng)化實(shí)際成效和實(shí)戰(zhàn)化對抗轉(zhuǎn)型,BAS技術(shù)作為新興技術(shù),憑借其獨(dú)特優(yōu)勢,成為保障網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵工具。二、BAS的技術(shù)能力l無害化測試作為核心基礎(chǔ):所有廠商均將無害化測試技術(shù)作為產(chǎn)品核心特性,通過仿真模塊、數(shù)據(jù)包標(biāo)記、流量控制或沙盤隔離等創(chuàng)新方式實(shí)現(xiàn),在模擬攻擊時(shí)不會(huì)對生產(chǎn)系統(tǒng)造成實(shí)際損害、數(shù)據(jù)破壞或業(yè)務(wù)中斷,有效消除用戶顧慮。l閉環(huán)管理實(shí)現(xiàn)價(jià)值的關(guān)鍵路徑:BAS的價(jià)值不僅在于發(fā)現(xiàn)問題,更在于與SIEM/S0C、S0AR、工單系統(tǒng)等現(xiàn)有安全生態(tài)深度集成,實(shí)現(xiàn)日志統(tǒng)—回傳和結(jié)果分析,并通過自動(dòng)化任務(wù)下發(fā)和自動(dòng)化復(fù)測,構(gòu)建攻擊模擬-發(fā)現(xiàn)分析-修復(fù)優(yōu)化-復(fù)測閉環(huán),助力企業(yè)從被動(dòng)安全防御轉(zhuǎn)向主動(dòng)安全防御。l確保模擬攻擊的高仿真性和有效性成為競爭點(diǎn):領(lǐng)先的BAS產(chǎn)品將海量威脅情報(bào)(特別是APT組織的TTPs)轉(zhuǎn)化為可執(zhí)行的攻擊場景和用例,并將實(shí)戰(zhàn)攻防經(jīng)驗(yàn)、工具積累沉淀為BAS知識(shí)庫,經(jīng)第三方威脅情報(bào)驗(yàn)證其真實(shí)性,確保模擬攻擊的高仿真性和有效性。l量化指標(biāo)體系驅(qū)動(dòng)價(jià)值:BAS提供多維度、可量化的評(píng)估指標(biāo),包括防護(hù)覆蓋度、檢測率、阻斷率、攻擊鏈阻斷率、MTTD/MTTR以及ATT&CK模型覆蓋率等,使安全投入效果可視化,為安全管理決策提供數(shù)據(jù)支撐,輔助評(píng)估投資回報(bào)率。lAI深度賦能BAS全周期:AI技術(shù)深度集成到BAS各環(huán)節(jié),目前主要用于智能生成攻擊向量、優(yōu)化攻擊策略、分析評(píng)估結(jié)果、提供修復(fù)建議等。未來,AI將貫穿BAS整個(gè)流程,實(shí)現(xiàn)自主智能攻擊路徑生成和動(dòng)態(tài)決策,推動(dòng)威脅預(yù)測和智能動(dòng)態(tài)決策。三、BAS的市場和技術(shù)應(yīng)用l護(hù)網(wǎng)演練前預(yù)演的重要應(yīng)用場景:BAS憑借高強(qiáng)度、多輪次、自動(dòng)化的攻擊模擬能力,成為攻防演練備戰(zhàn)階段的重要工具,幫助企業(yè)動(dòng)態(tài)感知攻擊面,提前發(fā)現(xiàn)并修復(fù)防護(hù)盲點(diǎn),提升實(shí)戰(zhàn)防御能力,應(yīng)對常態(tài)化攻防演練壓力。6l應(yīng)對高級(jí)威脅的獨(dú)特作用:BAS深度模擬APT攻擊和新型/0day漏洞利用,健全和驗(yàn)證防御體系對已知和未知威脅的抵御能力,提升人員意識(shí),并提供量化指標(biāo)指導(dǎo)防御優(yōu)化,助力企業(yè)從被動(dòng)響應(yīng)轉(zhuǎn)向主動(dòng)免疫。l國內(nèi)BAS市場快速興起:市場參與者包括傳統(tǒng)安全廠商、人工智能驅(qū)動(dòng)型企業(yè)等,市場發(fā)展迅速,用戶認(rèn)知度不斷提升。本土廠商憑借對國內(nèi)政策、監(jiān)管要求、實(shí)戰(zhàn)需求的深刻理解及技術(shù)創(chuàng)新,形成中國特色競爭優(yōu)勢。l用戶集中在重點(diǎn)行業(yè):國內(nèi)BAS市場用戶主要集中在金融、運(yùn)營商、互聯(lián)網(wǎng)企業(yè),這些行業(yè)安全建設(shè)完善,監(jiān)管要求高,利用BAS應(yīng)對高級(jí)網(wǎng)絡(luò)威脅和攻防演練挑戰(zhàn)。政府、工業(yè)制造、教育、醫(yī)療等行業(yè)也在積極應(yīng)用BAS技術(shù)。l用戶困惑阻礙市場普及:企業(yè)在BAS應(yīng)用中面臨不敢跑不會(huì)用看不懂等痛點(diǎn),廠商需在產(chǎn)品易用性、運(yùn)營服務(wù)和呈現(xiàn)價(jià)值上持續(xù)發(fā)力。四、BAS的不足和趨勢l缺乏行業(yè)統(tǒng)—標(biāo)準(zhǔn):當(dāng)前國內(nèi)BAS市場缺乏統(tǒng)—的行業(yè)標(biāo)準(zhǔn),包括攻擊劇本、攻擊向量和量化指標(biāo)評(píng)估方法,導(dǎo)致不同廠商產(chǎn)品能力和評(píng)估結(jié)果存在差異,給用戶選擇帶來困難。l市場邁向廣泛應(yīng)用階段:隨著國內(nèi)用戶認(rèn)知度提升和技術(shù)成熟推動(dòng),BAS正向整體防御體系實(shí)戰(zhàn)化驗(yàn)證等方向發(fā)展。l數(shù)據(jù)安全和大模型安全防護(hù)驗(yàn)證成未來方向:隨著《數(shù)據(jù)安全法》等法規(guī)的落地,以及大模型廣泛應(yīng)用帶來的安全隱患,BAS正拓展能力,加強(qiáng)對DLP、API安全、供應(yīng)鏈安全的有效性驗(yàn)證,同時(shí)探索對大模型安全產(chǎn)品的有效性評(píng)估。lBAS演進(jìn)為威脅暴露管理框架:BAS未來將向?qū)剐员┞豆芾?CTEM)或?qū)剐员┞厄?yàn)證(AEV)核心組件演進(jìn),與攻擊面管理等技術(shù)融合,實(shí)現(xiàn)從發(fā)現(xiàn)暴露面到動(dòng)態(tài)風(fēng)險(xiǎn)收斂的完全閉環(huán)。7第—章背景概述當(dāng)前,全球數(shù)字化轉(zhuǎn)型進(jìn)程加速,信息技術(shù)廣泛且深入地滲透到社會(huì)經(jīng)濟(jì)的各個(gè)領(lǐng)域。然而,與此同時(shí),網(wǎng)絡(luò)安全威脅也隨之持續(xù)升級(jí)并不斷泛化,給國家安全、社會(huì)穩(wěn)定以及企業(yè)運(yùn)營帶來了極大的挑戰(zhàn)。在這樣的背景下,威脅的演進(jìn)趨勢以及日益嚴(yán)格的法規(guī)要求,成為推動(dòng)入侵與攻擊模擬(BAS)發(fā)展的重要因素。1.1當(dāng)前網(wǎng)絡(luò)安全威脅的趨勢在網(wǎng)絡(luò)安全領(lǐng)域,企業(yè)和政府機(jī)構(gòu)正面臨多重嚴(yán)峻挑戰(zhàn),威脅趨勢呈現(xiàn)高級(jí)化、廣泛化、智能化和產(chǎn)業(yè)化特點(diǎn),傳統(tǒng)安全防護(hù)體系受到嚴(yán)峻考驗(yàn)。企業(yè)和機(jī)構(gòu)亟需—種能持續(xù)、自動(dòng)化、實(shí)戰(zhàn)化驗(yàn)證防護(hù)體系有效性的新方法,以激發(fā)主動(dòng)性,實(shí)現(xiàn)主動(dòng)安全治理。當(dāng)前網(wǎng)絡(luò)安全威脅的趨勢1.1.1網(wǎng)絡(luò)安全威脅高級(jí)化、專業(yè)化網(wǎng)絡(luò)安全威脅的高級(jí)化和專業(yè)化表現(xiàn)明顯。如今,網(wǎng)絡(luò)攻擊不再是簡單的病毒感染或腳本行為,而是高度復(fù)雜且專業(yè)。高級(jí)持續(xù)性威脅(APT)已常態(tài)化,國家支持的攻擊者和高水平犯罪組織常利用其攻擊,具有強(qiáng)度高、潛伏期長、攻擊鏈復(fù)雜、規(guī)避檢測能力強(qiáng)等特點(diǎn),攻擊鏈條變得復(fù)雜多級(jí),不再單—,包含多個(gè)階段組成的殺傷鏈,攻擊者利用多種漏洞和技術(shù)組合繞過防護(hù),增加檢測難度。并且目標(biāo)明確,主要針對關(guān)鍵信息基礎(chǔ)設(shè)施、核心技術(shù)企業(yè)等高價(jià)值目標(biāo),意圖竊取敏感數(shù)據(jù)、破壞關(guān)鍵系統(tǒng)或長期滲透。同時(shí),勒索軟件的商業(yè)化與精準(zhǔn)化趨勢凸顯,從廣撒網(wǎng)轉(zhuǎn)向精準(zhǔn)勒索,開展數(shù)據(jù)竊取和雙重勒索,并通過RaaS模式降低攻擊門檻,威脅各行各業(yè)。1.1.2威脅技術(shù)和工具持續(xù)升級(jí)8威脅技術(shù)和工具也在持續(xù)升級(jí)。攻擊者在技術(shù)和工具的創(chuàng)新迭代速度已超防守手段。他們利用AI和大模型提升攻擊效率和精準(zhǔn)性,如自動(dòng)生成釣魚郵件、惡意代碼變種,輔助自動(dòng)化滲透測試和漏洞挖掘,使攻擊者能力指數(shù)級(jí)增長。同時(shí),攻擊者發(fā)現(xiàn)并利用0-day漏洞繞過傳統(tǒng)防護(hù),供應(yīng)鏈攻擊也頻繁發(fā)生,通過侵害供應(yīng)商或篡改合法軟件分發(fā)渠道植入惡意代碼,實(shí)現(xiàn)大規(guī)模感染,給防護(hù)者帶來更高要求。而且,攻擊工具的認(rèn)知性和規(guī)避檢測能力增強(qiáng),采用無文件攻擊、內(nèi)存駐留等手段,使傳統(tǒng)特征檢測方法難以奏效。1.1.3網(wǎng)絡(luò)環(huán)境復(fù)雜,范圍邊界模糊網(wǎng)絡(luò)環(huán)境的復(fù)雜化和邊界模糊也帶來諸多挑戰(zhàn)。企業(yè)數(shù)字化轉(zhuǎn)型使IT架構(gòu)變化,網(wǎng)絡(luò)環(huán)境急劇復(fù)雜,傳統(tǒng)邊界模糊。云計(jì)算與多云環(huán)境下,企業(yè)上云采用多種架構(gòu),資產(chǎn)分布廣,安全責(zé)任邊界模糊,云環(huán)境的動(dòng)態(tài)性和彈性增加了安全配置和策略管理復(fù)雜性。物聯(lián)網(wǎng)和工業(yè)互聯(lián)網(wǎng)普及,智能安全產(chǎn)品、傳感器、工控系統(tǒng)接入網(wǎng)絡(luò),使攻擊面從IT領(lǐng)域擴(kuò)展到0T/ICS領(lǐng)域,帶來新安全挑戰(zhàn),尤其對生產(chǎn)運(yùn)營的潛在物理影響大。遠(yuǎn)程辦公與移動(dòng)互聯(lián)常態(tài)化,員工通過遠(yuǎn)程接入點(diǎn)和移動(dòng)安全產(chǎn)品訪問企業(yè)資源,企業(yè)邊界轉(zhuǎn)移,安全和身份驗(yàn)證復(fù)雜性增加。攻擊面管理(ASM)也面臨挑戰(zhàn),資產(chǎn)動(dòng)態(tài)變化和多源性使企業(yè)難以全面準(zhǔn)確識(shí)別管理暴露資產(chǎn),包括物理資產(chǎn)、云資產(chǎn)等,導(dǎo)致攻擊面擴(kuò)大且難管理。1.1.4威脅事件頻發(fā),安全形勢嚴(yán)峻網(wǎng)絡(luò)安全形勢嚴(yán)峻,威脅事件頻發(fā)。全球范圍內(nèi),數(shù)據(jù)泄露事件常態(tài)化,敏感數(shù)據(jù)等泄露給企業(yè)帶來巨大損失和風(fēng)險(xiǎn)。勒索攻擊、DDoS攻擊等導(dǎo)致業(yè)務(wù)中斷和關(guān)鍵基礎(chǔ)設(shè)施受損,威脅社會(huì)經(jīng)濟(jì)運(yùn)行和國家安全。網(wǎng)絡(luò)戰(zhàn)和地緣政治風(fēng)險(xiǎn)使網(wǎng)絡(luò)空間成為國家間對抗新戰(zhàn)場,網(wǎng)絡(luò)攻擊與地緣政治事件交織,對國家安全穩(wěn)定形成戰(zhàn)略性挑戰(zhàn)。國內(nèi)網(wǎng)絡(luò)安全事件頻發(fā),企業(yè)和組織遭受巨大經(jīng)濟(jì)損失和社會(huì)影響,甚至引發(fā)法律糾紛和監(jiān)管處罰。如2022年6月22日,國內(nèi)某大學(xué)遭境外網(wǎng)絡(luò)攻擊,源頭為美國某組織,使用多種攻擊武器,竊取大量高價(jià)值數(shù)據(jù),還滲透電信基礎(chǔ)設(shè)施竊取隱私數(shù)據(jù)。又如2020年2月23日,國內(nèi)某集團(tuán)運(yùn)維人員因個(gè)人原因刪除業(yè)務(wù)數(shù)據(jù),致業(yè)務(wù)癱瘓,影響眾多商戶,造成重大經(jīng)濟(jì)損失,相關(guān)責(zé)任人被判刑。1.2網(wǎng)絡(luò)安全政策法規(guī)要求網(wǎng)絡(luò)安全威脅的升級(jí),推動(dòng)各國政府和國外組織不斷完善網(wǎng)絡(luò)政策安全法規(guī),定期提升國家和企業(yè)的網(wǎng)絡(luò)安全防護(hù)水平,這些政策法規(guī)推動(dòng)BAS從可選項(xiàng)變?yōu)楸剡x項(xiàng),驅(qū)動(dòng)安全實(shí)踐從周期性驗(yàn)證轉(zhuǎn)向自動(dòng)化、常態(tài)化、數(shù)據(jù)驅(qū)動(dòng)的驗(yàn)證模式。9網(wǎng)絡(luò)安全政策法規(guī)要求1.2.1國外安全政策法規(guī)要求近年來,各國對網(wǎng)絡(luò)安全的重視程度不斷提高,各國紛紛出臺(tái)—系列網(wǎng)絡(luò)安全法律法規(guī)、監(jiān)管要求和政策,國外上的法律法規(guī)和行業(yè)框架正共同推動(dòng)企業(yè)網(wǎng)絡(luò)安全實(shí)踐從傳統(tǒng)的周期性、人工化審計(jì),轉(zhuǎn)向自動(dòng)化、常態(tài)化、數(shù)據(jù)驅(qū)動(dòng)的驗(yàn)證模式,這有力推進(jìn)了企業(yè)從部署安全控制向持續(xù)驗(yàn)證其有效性的轉(zhuǎn)變,進(jìn)而驅(qū)動(dòng)了BAS技術(shù)在全球范圍內(nèi)的需求增長和應(yīng)用深度。BAS作為—種能夠持續(xù)評(píng)估、量化證明安全控制有效性的工具,在全球合規(guī)和風(fēng)險(xiǎn)管理語境下的重要性日益凸顯。歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)在第三十二條處理的安全中明確要求,企業(yè)應(yīng)采取確保處理系統(tǒng)和服務(wù)的持續(xù)保密性、完整性、可用性和韌性的技術(shù)和組織措施,并特別指出需要定期測試、評(píng)估和評(píng)價(jià)技術(shù)和組織措施有效性的流程。這直接推動(dòng)了企業(yè)對持續(xù)性驗(yàn)證工具的需求,以自動(dòng)化、常態(tài)化的方式證明其對個(gè)人數(shù)據(jù)的保護(hù)是真實(shí)有效的。美國的《國家標(biāo)準(zhǔn)與技術(shù)研究院網(wǎng)絡(luò)安全框架》(NISTCSF)在其檢測和響應(yīng)功能中,強(qiáng)調(diào)了持續(xù)監(jiān)控、檢測過程的有效性以及事件響應(yīng)測試的重要性,而保護(hù)功能則要求對已實(shí)施的安全控制進(jìn)行驗(yàn)證,BAS通過自動(dòng)化模擬攻擊和驗(yàn)證,為企業(yè)提供了量化實(shí)現(xiàn)NISTCSF各項(xiàng)功能要求的手段。美國《國防授權(quán)法案》(NDAA):對美國的網(wǎng)絡(luò)安全能力建設(shè)提出明確的要求,包括提升網(wǎng)絡(luò)安全產(chǎn)品、威脅情報(bào)分析、安全事件響應(yīng)等能力。NDAA推動(dòng)美國加強(qiáng)安全運(yùn)營中心的建設(shè),并積極采用人工智能、大數(shù)據(jù)分析等先進(jìn)技術(shù)，提升安全運(yùn)營的智能化水平。美國國家網(wǎng)絡(luò)戰(zhàn)略要求將提升國家網(wǎng)絡(luò)安全能力作為重要目標(biāo)，強(qiáng)化加強(qiáng)網(wǎng)絡(luò)安全信息共享、公私合作、主動(dòng)防護(hù)等，該戰(zhàn)略推動(dòng)美國和組織加強(qiáng)安全運(yùn)營中心的建設(shè)，并積極采用威脅情報(bào)、自動(dòng)化安全響應(yīng)等先進(jìn)技術(shù)，提升安全運(yùn)營的效率和效果。IS0C的建設(shè)與該戰(zhàn)略的目標(biāo)高度契合。國外權(quán)威標(biāo)準(zhǔn)如IS027001(信息安全管理體系)也對技術(shù)漏洞管理和安全措施有效性測試提出了要求，如控制項(xiàng)A.12.6，BAS作為—種持續(xù)性的技術(shù)控制驗(yàn)證工具，能夠?yàn)镮S027001體系的檢查環(huán)節(jié)提供量化證據(jù)，并推動(dòng)改進(jìn)過程。再如，《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCIDSS)規(guī)定了每年進(jìn)行—次外部和內(nèi)部滲透測試，并在發(fā)生重大基礎(chǔ)設(shè)施或應(yīng)用升級(jí)修改后進(jìn)行，同時(shí)要求進(jìn)行漏洞掃描。BAS作為—種持續(xù)性、自動(dòng)化預(yù)滲透測試的工具，能夠幫助企業(yè)在正式測試前識(shí)別并修復(fù)潛在漏洞，有效輔助提高合規(guī)通過率，并為漏洞掃描結(jié)果提供實(shí)際可利用性的驗(yàn)證。類似地，美國的《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)也要求對醫(yī)療保健機(jī)構(gòu)的電子保護(hù)信息采取技術(shù)保障措施并進(jìn)行評(píng)估，BAS通過對這些技術(shù)措施的持續(xù)驗(yàn)證，確保了敏感醫(yī)療數(shù)據(jù)的安全性。1.2.2國內(nèi)網(wǎng)絡(luò)安全政策法規(guī)要求與BAS的發(fā)展我國高度重視網(wǎng)絡(luò)安全工作，已初步構(gòu)建起較為完善的網(wǎng)絡(luò)安全法律法規(guī)和政策體系，不斷提高網(wǎng)絡(luò)安全監(jiān)管力度，為國內(nèi)BAS市場的發(fā)展提供了強(qiáng)勁而獨(dú)特的驅(qū)動(dòng)力，對網(wǎng)絡(luò)安全的有效性驗(yàn)證提出了明確且嚴(yán)格的要求，使BAS從可選項(xiàng)變?yōu)楸剡x項(xiàng)。《中華人民共和國網(wǎng)絡(luò)安全法》，作為國家網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律，確立了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，為網(wǎng)絡(luò)安全保護(hù)的必要性提供了基本依據(jù)。并要求網(wǎng)絡(luò)運(yùn)營者采取技術(shù)防范、監(jiān)測、記錄等措施保障網(wǎng)絡(luò)安全。BAS通過持續(xù)驗(yàn)證安全控制的有效性，幫助企業(yè)確保滿足等級(jí)防護(hù)要求，并發(fā)現(xiàn)技術(shù)措施的不足，從而提升整體防護(hù)能力?！吨腥A人民共和國數(shù)據(jù)安全法》建立數(shù)據(jù)分類分級(jí)保護(hù)制度，明確了重要數(shù)據(jù)和核心數(shù)據(jù)的保護(hù)要求，包括應(yīng)通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力，并要求數(shù)據(jù)處理者履行數(shù)據(jù)安全保護(hù)義務(wù)，開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，建立數(shù)據(jù)安全監(jiān)測預(yù)警機(jī)制。BAS能夠模擬數(shù)據(jù)泄露場景，驗(yàn)證數(shù)據(jù)分級(jí)策略、數(shù)據(jù)防護(hù)措施以及評(píng)估數(shù)據(jù)安全防護(hù)效果，并可視化泄露路徑，從而支撐企業(yè)進(jìn)行數(shù)據(jù)安全合規(guī)治理，驗(yàn)證數(shù)據(jù)分類分級(jí)制度的效果。《中華人民共和國個(gè)人信息保護(hù)法》確立了個(gè)人信息處理的合法、合理、必要和誠信原則，對信息處理活動(dòng)制定了個(gè)人規(guī)范，強(qiáng)調(diào)個(gè)人信息處理者需采取個(gè)人信息安全技術(shù)措施，并定期進(jìn)行合規(guī)審計(jì)。BAS可以通過模擬敏感數(shù)據(jù)泄露路徑和社工攻擊，或模擬個(gè)人信息非法獲取或破解場景，驗(yàn)證個(gè)人信息保護(hù)措施和自動(dòng)化決策的安全性，確保數(shù)據(jù)處理活動(dòng)的合規(guī)性?！禛BT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(以下簡稱等保2.0)要求加強(qiáng)積極防護(hù)、動(dòng)態(tài)防護(hù)、整體防護(hù)和精準(zhǔn)防護(hù),并納入云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)等新型環(huán)境,如8.1.7.5檢查,應(yīng)定期進(jìn)行全面安全檢查,檢查內(nèi)容包括現(xiàn)有安全技術(shù)措施的有效性、安全配置與安全策略的—致性;9.1.10.7,惡意代碼防范管理,應(yīng)定期驗(yàn)證防范惡意代碼攻擊的技術(shù)措施的有效性。BAS提供驗(yàn)證各項(xiàng)技術(shù)措施的實(shí)際防護(hù)效果和策略效果,并覆蓋云、物聯(lián)網(wǎng)、工控等新興場景,直接驗(yàn)證等保障2.0中技術(shù)措施和安全管理要求的落地效果。為等保障評(píng)估提供有力的實(shí)戰(zhàn)證據(jù),幫助企業(yè)從符合性效果檢查走向?qū)嶋H評(píng)估。《GBT20984-2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》針對各類組織開展信息安全風(fēng)險(xiǎn)評(píng)估工作的實(shí)施流程和評(píng)估方法進(jìn)行了明確,并明確應(yīng)根據(jù)脆弱性訪問路徑、觸發(fā)要求等,以及已實(shí)施的安全措施及其有效性確定脆弱性被利用難易程度;要求評(píng)估人員應(yīng)對已采取的安全措施和有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性,即是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅。如4.2風(fēng)險(xiǎn)分析原理,應(yīng)根據(jù)脆弱性訪問路徑、觸發(fā)要求等以及已實(shí)施的安全措施及其有效性確定脆弱性被利用難易程度;如5.2.3已有安全措施識(shí)別,評(píng)估人員應(yīng)對已采取的安全措施和有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性,即是否真正地降低了系統(tǒng)的脆弱性,抵御了威脅。《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》明確要求運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進(jìn)行—次網(wǎng)絡(luò)安全檢測和風(fēng)險(xiǎn)評(píng)估,對可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行安全審查等。BAS作為自動(dòng)化、持續(xù)性的安全驗(yàn)證工具,能夠?yàn)殛P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者履行定期測試和風(fēng)險(xiǎn)評(píng)估義務(wù),提供可靠的數(shù)據(jù)支撐。《GB/T39204-2022關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》(以下簡稱《關(guān)保要求》),《關(guān)保要求》為全面開展關(guān)保提出了更加全面、更加細(xì)致的操作性要求。明確提出應(yīng)檢驗(yàn)安全防護(hù)措施的有效性,對面臨的安全威脅態(tài)勢進(jìn)行持續(xù)監(jiān)測和安全控制措施的動(dòng)態(tài)調(diào)整,形成動(dòng)態(tài)的安全防護(hù)機(jī)制,及時(shí)有效地防范應(yīng)對安全風(fēng)險(xiǎn)。提升關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)對大規(guī)模網(wǎng)絡(luò)攻擊能力。如主要內(nèi)容及活動(dòng)檢測評(píng)估,為檢驗(yàn)安全防護(hù)措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患,應(yīng)建立相應(yīng)的檢測評(píng)估制度,確定檢測評(píng)估的流程及內(nèi)容等,開展安全檢測與風(fēng)險(xiǎn)隱患評(píng)估,分析潛在安全風(fēng)險(xiǎn)可能引發(fā)的安全事件。主動(dòng)防護(hù),以應(yīng)對攻擊行為的監(jiān)測發(fā)現(xiàn)為基礎(chǔ),主動(dòng)采取收斂暴露面、捕獲、溯源、干擾和阻斷等措施。攻防演練常態(tài)化與實(shí)戰(zhàn)化需求:國家政府常態(tài)化組織網(wǎng)絡(luò)安全攻防演練(如護(hù)網(wǎng)行動(dòng)),極大地推動(dòng)了企業(yè)實(shí)戰(zhàn)化防護(hù)能力建設(shè)的重視。BAS在幫助組織進(jìn)行實(shí)戰(zhàn)的有效性驗(yàn)證方面發(fā)揮關(guān)鍵作用。使國內(nèi)市場對BAS的需求更加側(cè)重于模擬真實(shí)的APT攻擊場景和攻防對抗能力。1.3企業(yè)安全管理面對挑戰(zhàn)根據(jù)安全牛對十多家的安全廠商的訪談,國內(nèi)企業(yè)在網(wǎng)絡(luò)安全建設(shè)中普遍面臨四大難題并陷入困惑。在安全建設(shè)層面,企業(yè)嘗試從合規(guī)驅(qū)動(dòng)轉(zhuǎn)向主動(dòng)防護(hù),卻因成效評(píng)估與關(guān)鍵點(diǎn)定位模糊而難以落地;攻防演練中,企業(yè)對防護(hù)體系的有效性缺乏驗(yàn)證手段,難以擺脫被動(dòng)挨打的困境;在安全產(chǎn)品運(yùn)維層面,防護(hù)失效后的優(yōu)化部署成為難題,高級(jí)持續(xù)性威脅的持續(xù)有效性保障更是挑戰(zhàn)重重;安全運(yùn)營方面,團(tuán)隊(duì)因人力不足陷入人少事多的泥沼,關(guān)鍵風(fēng)險(xiǎn)的精準(zhǔn)識(shí)別與防護(hù)效果的自我驗(yàn)證能力不足。目前企業(yè)的十大高頻故障場景包括:邊界防火墻攔截失效、防病毒軟件啟動(dòng)故障、S0C告警積壓、終端防護(hù)軟件覆蓋不足、關(guān)鍵資產(chǎn)審計(jì)缺失等,均嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)安全。如安全產(chǎn)品已經(jīng)部署但是規(guī)則配置錯(cuò)誤或日志丟失導(dǎo)致安全產(chǎn)品能力失效;防護(hù)未覆蓋導(dǎo)致安全漏洞,暴露管理盲區(qū)。網(wǎng)絡(luò)安全團(tuán)隊(duì)同樣深陷困境,面臨執(zhí)行力波動(dòng)、評(píng)估體系不完善、人才短缺等多維度挑戰(zhàn)。人員水平參差不齊導(dǎo)致7x24小時(shí)持續(xù)驗(yàn)證難以實(shí)現(xiàn),團(tuán)隊(duì)規(guī)模與任務(wù)量的倒掛現(xiàn)象普遍,優(yōu)化整改缺乏動(dòng)態(tài)指導(dǎo)依據(jù),安全投入與防護(hù)效果難以量化呈現(xiàn),最終難以向決策層證明安全工作的價(jià)值。企業(yè)迫切需要擺脫被動(dòng)防護(hù)的應(yīng)急響應(yīng)模式,構(gòu)建主動(dòng)防護(hù)體系。當(dāng)前的被動(dòng)模式下,安全團(tuán)隊(duì)普遍存在缺乏感知攻擊能力的焦慮,往往在攻擊者已深入內(nèi)網(wǎng)后才發(fā)現(xiàn)問題,導(dǎo)致事后補(bǔ)救成本高昂。這暴露了網(wǎng)絡(luò)安全建設(shè)的根本性缺陷:只有在事前主動(dòng)發(fā)現(xiàn)并消除潛在風(fēng)險(xiǎn),才能真正實(shí)現(xiàn)從被動(dòng)防護(hù)向主動(dòng)免疫的轉(zhuǎn)型升級(jí)。第二章BAS的基本概念在當(dāng)今數(shù)字化時(shí)代,網(wǎng)絡(luò)安全威脅日益復(fù)雜多變,傳統(tǒng)安全測試方法在應(yīng)對復(fù)雜、動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境時(shí)逐漸顯得力不從心。入侵與攻擊模擬(BAS)在這樣的背景下應(yīng)運(yùn)而生,并迅速發(fā)展成為安全防護(hù)體系中至關(guān)重要的—環(huán)。2.1BAS的基本概念和發(fā)展網(wǎng)絡(luò)安全威脅的演進(jìn),使傳統(tǒng)安全測試方法在應(yīng)對復(fù)雜、動(dòng)態(tài)的網(wǎng)絡(luò)環(huán)境時(shí)力不從心。入侵與攻擊模擬在這樣的背景下應(yīng)運(yùn)而生,并迅速發(fā)展成為安全防護(hù)體系中舵機(jī)的—環(huán)。2.1.1BAS的定義和理念入侵與攻擊模擬(BAS,BreachandAttackSimulation)是—種創(chuàng)新的網(wǎng)絡(luò)安全驗(yàn)證方法。借助自動(dòng)化、持續(xù)性的軟件工具,安全無害化地模擬多種黑客攻擊行為,從攻擊者視角出發(fā),運(yùn)用多樣化攻擊手段,查找并驗(yàn)證企業(yè)防御系統(tǒng)漏洞,并借助模擬攻擊-分析-修復(fù)-復(fù)測的閉環(huán)流程,推動(dòng)防御體系改進(jìn)提升。BAS的理念BAS的核心理念BAS的核心理念是以攻促防,將安全評(píng)估從傳統(tǒng)的點(diǎn)對點(diǎn)測試轉(zhuǎn)變?yōu)樨灤┌踩ㄔO(shè)全生命周期的持續(xù)驗(yàn)證,貫穿企業(yè)網(wǎng)絡(luò)安全管理的各階段和場景,驗(yàn)證安全產(chǎn)品有效性,發(fā)現(xiàn)防御體系的短板,評(píng)估攻擊路徑風(fēng)險(xiǎn),強(qiáng)調(diào)持續(xù)進(jìn)行模擬攻擊-發(fā)現(xiàn)分析-修復(fù)優(yōu)化-再次驗(yàn)證的閉環(huán),確保安全防護(hù)能力在動(dòng)態(tài)IT環(huán)境中持續(xù)有效,提升安全運(yùn)營能力,滿足合規(guī)要求,優(yōu)化安全投資決策,進(jìn)而促進(jìn)企業(yè)安全能力提升。2.1.2BAS的特點(diǎn)入侵與攻擊模擬(BAS)利用自動(dòng)化、持續(xù)性的軟件工具,從攻擊者視角出發(fā),以安全且無害化的方式模擬多樣的黑客攻擊。核心目標(biāo)是驗(yàn)證組織安全暴露面,發(fā)現(xiàn)防護(hù)盲點(diǎn),提升安全態(tài)勢,包括錯(cuò)誤配置的安全控制、軟件漏洞以及薄弱的安全漏洞。BAS的主要特點(diǎn)包括:l攻擊者視角。BAS的核心在于突破傳統(tǒng)的防御思維,從攻擊者視角出發(fā),主動(dòng)模擬真實(shí)攻擊者的思維模式、攻擊路徑和技戰(zhàn)術(shù)。從外部、內(nèi)部以及橫向移動(dòng)等多個(gè)維度,全面探測企業(yè)防御體系中的漏洞、配置缺陷或策略盲區(qū),助力企業(yè)實(shí)現(xiàn)知攻善防,在攻擊發(fā)生前精準(zhǔn)預(yù)判并彌補(bǔ)短板。l無害化模擬。無害化模擬是BAS廣泛評(píng)估生產(chǎn)環(huán)境的關(guān)鍵特性,確保在高度仿真攻擊行為的同時(shí),不會(huì)對企業(yè)的業(yè)務(wù)系統(tǒng)造成任何實(shí)際破壞、中斷或數(shù)據(jù)泄露。例如僅模擬攻擊流量或行為而不實(shí)際利用漏洞,以及在受控環(huán)境中執(zhí)行高風(fēng)險(xiǎn)操作后自動(dòng)回滾,消除了企業(yè)在核心生產(chǎn)環(huán)境進(jìn)行安全測試的顧慮,是其區(qū)別于傳統(tǒng)滲透測試的顯著優(yōu)勢。l自動(dòng)化。自動(dòng)化是BAS實(shí)現(xiàn)常態(tài)化和高效率的基礎(chǔ)。BAS通過自動(dòng)化攻擊模擬、日志收集、結(jié)果分析和報(bào)告生成,使企業(yè)能夠擺脫傳統(tǒng)人工測試耗時(shí)費(fèi)力、更新緩慢、難以規(guī)?；闹萍s,顯著提升安全驗(yàn)證的效率和覆蓋范圍,確保安全評(píng)估的及時(shí)性和—致性。l仿真模擬。仿真模擬是模擬攻擊真實(shí)性的關(guān)鍵體現(xiàn),能夠高保真地復(fù)制真實(shí)攻擊者的行為模式和網(wǎng)絡(luò)流量特征,而非簡單發(fā)送POC代碼,能在受控環(huán)境中還原真實(shí)攻擊場景下的交互和響應(yīng),更準(zhǔn)確地檢驗(yàn)安全產(chǎn)品的檢測和防御能力,確保驗(yàn)證結(jié)果能夠有效指導(dǎo)防御策略的調(diào)優(yōu)。l持續(xù)性。持續(xù)性是BAS實(shí)現(xiàn)動(dòng)態(tài)安全的核心特性。BAS通過常態(tài)化、自動(dòng)化的驗(yàn)證,不間斷地對企業(yè)防御體系進(jìn)行檢測,可感知因網(wǎng)絡(luò)配置變更、新業(yè)務(wù)上線、安全策略調(diào)整或外部威脅演進(jìn)而產(chǎn)生的防御短板,并及時(shí)驅(qū)動(dòng)安全能力的閉環(huán)優(yōu)化,使企業(yè)的安全防護(hù)能力始終處于最新、最有效的狀態(tài),實(shí)現(xiàn)動(dòng)態(tài)、實(shí)時(shí)的安全威脅防范。2.1.3BAS的演進(jìn)網(wǎng)絡(luò)安全驗(yàn)證的歷史是—個(gè)不斷適應(yīng)威脅、提升效率和追求真實(shí)性的過程。BAS的出現(xiàn)是—演進(jìn)的必然結(jié)果,主要是彌補(bǔ)傳統(tǒng)安全測試的固有局限性。安全驗(yàn)證早期背景(2007年至2016年):我國等保1.0等法律法規(guī)的強(qiáng)制要求下,大部分企業(yè)開始了合規(guī)的網(wǎng)絡(luò)安全建設(shè),企業(yè)開始對安全建設(shè)的效果進(jìn)行測試驗(yàn)證。早期的安全測試主要依賴于人工滲透測試和漏洞掃描,但是這些方法效率低下且無法提供持續(xù)的可見性。BAS的起源與初步發(fā)展(2016年至2023年):2016年左右,大部分企業(yè)隨著安全建設(shè)的逐步完成,在重保、護(hù)網(wǎng)等網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練的要求下,安全建設(shè)從合規(guī)階段向?qū)崙?zhàn)階段過渡。并且隨著高級(jí)持續(xù)性威脅(APT)的興起、網(wǎng)絡(luò)攻擊的緊迫復(fù)雜性以及越來越頻繁的攻防演練過程中,安全暴露問題凸顯,國內(nèi)組織開始認(rèn)識(shí)到需要—種驗(yàn)證網(wǎng)絡(luò)安全控制是否有效的方法。BAS的概念應(yīng)運(yùn)而生,Gartner于2017年首次在其新興技術(shù)成熟度曲線中提及BAS,并以其作為獨(dú)立技術(shù)類別的正式登場,并與2018年,正式將BAS納入安全運(yùn)營技術(shù)成熟度曲線,認(rèn)可了BAS在安全運(yùn)營中的重要性得到。國內(nèi)各廠商在2018年開始關(guān)注BAS技術(shù),并積極布局BAS市場,國內(nèi)廠商側(cè),如塞訊科技、矢安科技等廠商在2022年左右開展該領(lǐng)域業(yè)務(wù),國內(nèi)用戶側(cè)也開始關(guān)注BAS,并積極對BAS的概念進(jìn)行了解。2022年,Gartner發(fā)布2022年國家網(wǎng)絡(luò)安全技術(shù)成熟度曲線,將BAS作為國家的新興技術(shù)得到初步發(fā)展。國內(nèi)BAS市場快速發(fā)展(2024年至今):BAS技術(shù)逐漸成熟,產(chǎn)品功能十分豐富,能夠覆蓋更多的攻擊和威脅場景。廠商開始提供SaaS化部署,降低使用門檻。國內(nèi)—線城市的大部分頭部組織已經(jīng)理解BAS的概念和理念功能,特別是護(hù)網(wǎng)行動(dòng)的開展,各組織積極進(jìn)行試用,部分頭部組織開始采購BAS并進(jìn)行應(yīng)用,國內(nèi)BAS市場進(jìn)入快速發(fā)展階段。2.1.3BAS與傳統(tǒng)安全驗(yàn)證技術(shù)的區(qū)別與結(jié)合傳統(tǒng)滲透測試和漏洞掃描在驗(yàn)證方面具有的局限性使組織在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中缺乏持續(xù)性、全面的安全性,面臨較大的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。BAS不是替代傳統(tǒng)安全驗(yàn)證技術(shù),而是有效補(bǔ)充和延伸,BAS憑借自動(dòng)化、持續(xù)性、無害化模擬的特點(diǎn),可以彌補(bǔ)傳統(tǒng)滲透測試和漏洞掃描在驗(yàn)證方面的不足,形成更全面、高效的安全驗(yàn)證體系,幫助組織在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中建立持續(xù)、全面的安全防護(hù)能力。BAS與傳統(tǒng)安全驗(yàn)證技術(shù)的區(qū)別1)與滲透測試的區(qū)別與結(jié)合BAS高度自動(dòng)化,可實(shí)現(xiàn)持續(xù)、大規(guī)模的模擬執(zhí)行。而滲透測試主要依賴人工,呈現(xiàn)周期性、點(diǎn)狀執(zhí)行的特點(diǎn)。BAS側(cè)重于持續(xù)驗(yàn)證安全控制的有效性,量化防護(hù)效果并進(jìn)行監(jiān)控;滲透測試則側(cè)重于發(fā)現(xiàn)特定時(shí)間點(diǎn)、特定范圍內(nèi)的漏洞,提供詳細(xì)的攻擊路徑報(bào)告。BAS通常是無害化的,可在生產(chǎn)環(huán)境安全運(yùn)行;滲透測試可能具有破壞性,—般在受控環(huán)境或非生產(chǎn)環(huán)境進(jìn)行。BAS降低了對用戶進(jìn)行攻擊模擬的專業(yè)技能要求;滲透測試則高度依賴于滲透測試人員的豐富技能。滲透測試雖是長期以來常用的系統(tǒng)安全性評(píng)估工具,但其周期性特點(diǎn)、人工操作依賴、高昂成本,導(dǎo)致只能提供特定時(shí)間點(diǎn)的安全快照,難以持續(xù)反映不斷變化的安全性,且驗(yàn)證范圍受限于滲透測試人員的能力和時(shí)間,難以全面覆蓋所有潛在攻擊路徑,還可能對生產(chǎn)環(huán)境造成不可控影響。BAS是滲透測試的有效補(bǔ)充和延伸,而非完全替代。滲透測試可作為BAS前的預(yù)檢工具,發(fā)現(xiàn)顯著業(yè)務(wù)風(fēng)險(xiǎn),提高BAS驗(yàn)證的精準(zhǔn)度和業(yè)務(wù)關(guān)聯(lián)性;亦可在滲透測試后,利用BAS持續(xù)驗(yàn)證修復(fù)效果。二者結(jié)合,能形成更全面、高效的安全驗(yàn)證體系。2)與漏洞掃描的區(qū)別漏洞掃描主要識(shí)別已知漏洞的存在,基于漏洞庫進(jìn)行比對;BAS則模擬真實(shí)的攻擊行為,驗(yàn)證漏洞在實(shí)際環(huán)境中的可利用性以及攻擊者能否利用該漏洞形成攻擊鏈。漏洞掃描處于發(fā)現(xiàn)階段,輸出漏洞列表;BAS則處于驗(yàn)證階段,回答能否被利用和防護(hù)是否有效的問題。漏洞掃描是單點(diǎn)檢測;BAS能夠模擬多階段攻擊,分析攻擊路徑。漏洞掃描是攻擊面管理和漏洞管理的基礎(chǔ),BAS可作為漏洞掃描結(jié)果的驗(yàn)證器,借助BAS幫助組織優(yōu)先修復(fù)那些真正可被利用的高危漏洞。漏洞掃描已較為成熟,具備較高自動(dòng)化能力,可識(shí)別已知漏洞,但無法驗(yàn)證漏洞在真實(shí)環(huán)境中的可利用性,也不能模擬攻擊者利用漏洞后的多階段攻擊行為,輸出的漏洞報(bào)告數(shù)量龐大,難以有效優(yōu)先級(jí)排序。漏洞評(píng)估工具主要檢查系統(tǒng)中是否存在已發(fā)布和已知的漏洞,但核心缺陷在于無法驗(yàn)證這類漏洞在實(shí)際生產(chǎn)環(huán)境中的可利用性,不能全面評(píng)估攻擊者利用漏洞后可能經(jīng)歷的多個(gè)攻擊階段,存在知識(shí)庫依賴性,無法全面覆蓋所有潛在安全威脅,易造成資源浪費(fèi)且不能為企業(yè)提供完整攻擊鏈防護(hù)建議。3)與攻防演練或紅隊(duì)測試的區(qū)別紅隊(duì)測試通常需要高水平的專業(yè)人員組成紅隊(duì),對人員的依賴程度極高;BAS對人員依賴程度較低,主要依靠自動(dòng)化系統(tǒng)執(zhí)行。紅隊(duì)測試主要針對業(yè)務(wù)系統(tǒng)進(jìn)行攻擊測試;BAS更側(cè)重于驗(yàn)證防護(hù)安全產(chǎn)品及策略的有效性。紅隊(duì)測試的范圍相對較窄,主要集中在特定的攻擊路徑和目標(biāo)上;BAS可以模擬多種攻擊場景,測試范圍更廣,能夠發(fā)現(xiàn)潛在的安全漏洞和風(fēng)險(xiǎn)。紅隊(duì)測試通常是—次性的活動(dòng),持續(xù)時(shí)間較短;BAS可以持續(xù)不斷地進(jìn)行測試,及時(shí)發(fā)現(xiàn)新的安全威脅。紅隊(duì)測試的成本較高,需要投入大量的人力和時(shí)間;BAS的成本相對較低,可以實(shí)現(xiàn)自動(dòng)化的測試和監(jiān)控。BAS和紅隊(duì)測試可以相互補(bǔ)充。在紅隊(duì)測試之前,可以使用BAS進(jìn)行初步的安全評(píng)估,為紅隊(duì)測試提供參考;在紅隊(duì)測試之后,可以利用BAS對發(fā)現(xiàn)的問題進(jìn)行持續(xù)監(jiān)測和驗(yàn)證。同時(shí),BAS在日常的安全監(jiān)測中也可以模擬紅隊(duì)測試中的常見攻擊手法,提高企業(yè)的安全防護(hù)能力。紅隊(duì)測試具有較高的可靠性,能夠真實(shí)地反映攻擊者的行為和能力;BAS雖然也可以模擬攻擊行為,但在某些情況下可能會(huì)出現(xiàn)誤報(bào)或漏報(bào)的情況。BAS不再是可選選項(xiàng),而是企業(yè)和政府構(gòu)建高效、可靠的網(wǎng)絡(luò)安全防護(hù)體系的必要組成部分,是實(shí)現(xiàn)主動(dòng)安全治理和應(yīng)對未來威脅的關(guān)鍵基石。組織應(yīng)高度重視BAS的應(yīng)用和推廣,充分發(fā)揮其價(jià)值,以提升自身的網(wǎng)絡(luò)安全防護(hù)能力和運(yùn)營效率,保障業(yè)務(wù)的持續(xù)穩(wěn)定發(fā)展。BAS價(jià)值體現(xiàn)和必要性2.2.1BAS的核心價(jià)值入侵與攻擊模擬(BAS)的價(jià)值在于其能夠提供傳統(tǒng)安全測試方法無法提供的持續(xù)、自動(dòng)化、確定的安全漏洞檢測,從而顯著提升組織的安全防護(hù)能力和運(yùn)營效率。1)持續(xù)驗(yàn)證安全控制有效性傳統(tǒng)安全產(chǎn)品部署后,其有效性容易因配置錯(cuò)誤、策略老化或環(huán)境變化而下降。而BAS克服了傳統(tǒng)滲透測試和漏洞掃描的局限性。能夠持續(xù)、自動(dòng)化地模擬攻擊,驗(yàn)證防火墻、IDS、EDR、WAF等各類安全產(chǎn)品的配置是否正確、是否按預(yù)期工作,及時(shí)發(fā)現(xiàn)防護(hù)盲點(diǎn)和薄弱環(huán)節(jié)。確保了安全投資能夠真正產(chǎn)生預(yù)期的防護(hù)效果,使組織在不斷變化的網(wǎng)絡(luò)環(huán)境中始終保持高度的安全保障。2)確定安全風(fēng)險(xiǎn)與實(shí)現(xiàn)量化評(píng)估BAS將抽象的安全風(fēng)險(xiǎn)和防護(hù)能力轉(zhuǎn)化為可量化的指標(biāo),是組織量化安全評(píng)估框架的基石。提供數(shù)據(jù)驅(qū)動(dòng)的洞察,揭示在獨(dú)特的環(huán)境中,已識(shí)別的暴露面被攻擊者實(shí)際利用的可能性。通過攻擊成功率、漏洞利用成功率、檢測率、阻斷率、平均檢測時(shí)間(MTTD)和平均響應(yīng)時(shí)間(MTTR)等判斷指標(biāo),BAS能夠精準(zhǔn)洞察防護(hù)能力畫像。種判斷能力對于高層管理人員匯報(bào)安全績效、證明安全投資回報(bào)率(R0I)至關(guān)重要,幫助決策者清晰了解組織的安全狀況,為制定合理的安全戰(zhàn)略提供有力依據(jù)。3)促進(jìn)風(fēng)險(xiǎn)主動(dòng)治理BAS推動(dòng)網(wǎng)絡(luò)安全從被動(dòng)響應(yīng)向主動(dòng)防護(hù)的根本性轉(zhuǎn)變。使組織能夠主動(dòng)評(píng)估其安全預(yù)警,在攻擊者利用暴露的事先識(shí)別并解決問題,從而實(shí)現(xiàn)現(xiàn)實(shí)風(fēng)險(xiǎn)的前置管理。通過持續(xù)監(jiān)測和反饋,BAS幫助企業(yè)發(fā)現(xiàn)潛在威脅,并提供可落地的緩解和修復(fù)建議,從而構(gòu)建主動(dòng)防護(hù)能力。不僅有助于防范安全事件的發(fā)生,還能降低安全事件對組織造成的損失和影響,保障業(yè)務(wù)的連續(xù)性和穩(wěn)定性。4)提升安全運(yùn)營效率BAS的自動(dòng)化功能顯著減少了人工安全測試的成本和時(shí)間,將安全團(tuán)隊(duì)從繁瑣的重復(fù)性任務(wù)中解放出來,能夠?qū)Ｗ⒂谕{狩獵、事件響應(yīng)和戰(zhàn)略性安全改進(jìn)。自動(dòng)化評(píng)估、攻擊場景編排和日志閉環(huán)驗(yàn)證,極大提升了安全運(yùn)營的自動(dòng)化水平和協(xié)同效率。同時(shí),BAS可以輔助攻防演練,提升S0C團(tuán)隊(duì)的檢測和響應(yīng)能力,使安全團(tuán)隊(duì)能夠更迅速、更有效地應(yīng)對各類安全威脅,提高整體安全運(yùn)營的效能。5)提供滿足合規(guī)要求的數(shù)據(jù)BAS能夠提供證明安全控制措施實(shí)際效果的數(shù)據(jù),是滿足迫切嚴(yán)格的合規(guī)性要求(如國家等保2.0、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例)的關(guān)鍵組成部分。幫助組織確保其安全措施持續(xù)符合法規(guī)要求,彌補(bǔ)僅遵循合規(guī)清單可能產(chǎn)生的盲點(diǎn),降低潛在的法律和合規(guī)風(fēng)險(xiǎn)。在日益嚴(yán)格的監(jiān)管環(huán)境下,BAS為組織提供了合規(guī)保障,避免因合規(guī)問題而面臨的處罰和聲譽(yù)損失。6)優(yōu)化安全投資BAS能夠準(zhǔn)確評(píng)估不同安全控制解決方案的價(jià)值,幫助企業(yè)確定資金的最佳投入方向,從而證明安全投資的有效性。通過識(shí)別安全工具的優(yōu)勢或安全能力的不足,BAS可以優(yōu)化資源配置,確保安全投入能夠產(chǎn)生最大的業(yè)務(wù)價(jià)值。有助于組織合理規(guī)劃安全預(yù)算,避免資源浪費(fèi),實(shí)現(xiàn)安全投資的效益最大化。2.2.2應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)的必要性在當(dāng)今復(fù)雜的網(wǎng)絡(luò)安全形勢下,BAS不再是可選選項(xiàng),而是企業(yè)和政府構(gòu)建高效、可靠的網(wǎng)絡(luò)安全防護(hù)體系的必要組成部分,是實(shí)現(xiàn)主動(dòng)安全治理和應(yīng)對未來威脅的關(guān)鍵基石。1)應(yīng)對高級(jí)持續(xù)性威脅的緊迫性現(xiàn)代網(wǎng)絡(luò)攻擊(如高級(jí)持續(xù)性威脅APT、勒索軟件、供應(yīng)鏈攻擊)呈現(xiàn)出高度復(fù)雜、聚焦和集中的特點(diǎn)。傳統(tǒng)安全防護(hù)和驗(yàn)證手段難以有效應(yīng)對動(dòng)態(tài)演變的威脅。BAS能夠真實(shí)模仿攻擊者格局、技術(shù)和程序 (TTPs),主動(dòng)發(fā)現(xiàn)并矯正防護(hù)盲點(diǎn),幫助組織在實(shí)戰(zhàn)中保持領(lǐng)先,有效抵御國家級(jí)網(wǎng)絡(luò)戰(zhàn)攻擊。在復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境下,BAS為組織提供了應(yīng)對高級(jí)持續(xù)性威脅的有力武器,增強(qiáng)了組織的網(wǎng)絡(luò)安全防護(hù)能力。2)滿足組織迫切的合規(guī)要求國家的網(wǎng)絡(luò)安全法律法規(guī)對企業(yè)體系提出了明確的安全保護(hù)義務(wù)和持續(xù)驗(yàn)證要求。特別是在國家攻防演練常態(tài)化的背景下,組織需要具備實(shí)戰(zhàn)級(jí)的防護(hù)能力,并提供可量化的合規(guī)證據(jù)。BAS能夠提供持續(xù)的、量化的、符合ATT&CK框架的驗(yàn)證數(shù)據(jù),支撐組織滿足法規(guī)要求,并降低潛在的法律和合規(guī)風(fēng)險(xiǎn)。使組織能夠在合法合規(guī)的框架內(nèi)開展業(yè)務(wù)活動(dòng),避免因合規(guī)問題而帶來的不利影響。3)提升安全投入回報(bào)率大多組織配置了各種安全產(chǎn)品和控制措施,但往往不確定這些投資是否真正有效。BAS通過提供量化的安全績效指標(biāo),能夠有效展示安全投資的實(shí)際效果,幫助組織進(jìn)行科學(xué)的預(yù)算分配,優(yōu)化資源配置,從而提高安全投入的投資回報(bào)率,將安全投入的成本支出轉(zhuǎn)變?yōu)榭闪炕臉I(yè)務(wù)價(jià)值。幫助組織在有限的預(yù)算內(nèi)實(shí)現(xiàn)安全效益的最大化,提升組織的整體運(yùn)營效益。2.3BAS與安全框架的關(guān)聯(lián)入侵與攻擊模擬(BAS)的理念和實(shí)踐并非憑空,而是將抽象安全概念轉(zhuǎn)化為可視化、可量化的防護(hù)行為,是連接理論與實(shí)踐的橋梁,支持從理論合規(guī)到實(shí)戰(zhàn)化有效防護(hù)的轉(zhuǎn)變。該理論為BAS實(shí)踐提供了指導(dǎo)框架、評(píng)估標(biāo)準(zhǔn)和技術(shù)方向,使BAS能夠有效地抽象的安全概念轉(zhuǎn)化為可視化、可量化的防護(hù)行為。BAS與安全框架的關(guān)聯(lián)2.3.1MITREATT&CK框架是BAS的MITREATT&CK框架是基于真實(shí)世界觀察的對抗性和策略知識(shí)庫,包括攻擊者的策略(如初始訪問、橫向移動(dòng))和技術(shù)(如漏洞利用、路徑訪問),提供了—個(gè)統(tǒng)—的語言和全面的攻擊者行為視圖。MITREATT&CK框架作為BAS攻擊模擬的基石,起到其在統(tǒng)—語言和評(píng)估中的作用?！矫?MITREATT&CK框架可以確保BAS模擬的全面性和標(biāo)準(zhǔn)化,使模擬結(jié)果能夠清晰地映射到具體的攻擊技術(shù),從而深化安全團(tuán)隊(duì)對攻擊的理解并優(yōu)化響應(yīng)流程。BAS平臺(tái)廣泛采用ATT&CK框架來組織和映射攻擊模擬場景,將理論的攻擊者可能做的事轉(zhuǎn)化為自動(dòng)化、執(zhí)行的模擬行為。例如,理論的橫向移動(dòng)規(guī)定,在實(shí)踐中通過BAS模擬—系列基于ATT&CK的技術(shù)的安全技術(shù)驗(yàn)證平臺(tái)產(chǎn)品,如獲取權(quán)限-遠(yuǎn)程執(zhí)行-掃描內(nèi)網(wǎng)開放端口,確保BAS模擬的全面性和標(biāo)準(zhǔn)化,從而能夠高保真地還原真實(shí)攻擊場景。另—方面,BAS利用MITREATT&CK框架將復(fù)雜的攻擊行為轉(zhuǎn)化為可簡化、可改進(jìn)的防護(hù)指標(biāo)。BAS的評(píng)估報(bào)告通常會(huì)以ATT&CK矩陣的形式呈現(xiàn)防護(hù)覆蓋率和檢測效果。使團(tuán)隊(duì)、艦隊(duì)以及不同廠商的安全產(chǎn)品之間,能夠使用統(tǒng)—的語言來理解和溝通安全態(tài)勢,并明確指出組織在哪些攻擊區(qū)域或技術(shù)存在防護(hù)缺陷,從而指導(dǎo)有邊界的策略調(diào)整和優(yōu)化。2.3.2NIST理論是BAS的防護(hù)實(shí)踐理論NIST網(wǎng)絡(luò)安全框架(NISTCSF)提供了—套自主性的指導(dǎo)原則,旨在幫助組織管理和降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。包含識(shí)別、保護(hù)、檢測、響應(yīng)、恢復(fù)五大核心功能,是涵蓋安全風(fēng)險(xiǎn)管理全生命周期的框架。NIST強(qiáng)調(diào)組織需要持續(xù)評(píng)估其安全風(fēng)險(xiǎn)和應(yīng)對能力。BAS是驗(yàn)證CSF理論在企業(yè)環(huán)境中落地效果的關(guān)鍵手段,將抽象的理論轉(zhuǎn)化為可量化的實(shí)踐效果,幫助企業(yè)實(shí)現(xiàn)從理論合規(guī)到實(shí)戰(zhàn)化有效防護(hù),并遵循NIST應(yīng)持續(xù)的、數(shù)據(jù)驅(qū)動(dòng)的原則。BAS通過模擬攻擊者行為,驗(yàn)證企業(yè)在NIST的檢測(如安全信息和事件管理系統(tǒng)SIEM、擴(kuò)展檢測與響應(yīng)XDR的能力)和響應(yīng)(如自動(dòng)化響應(yīng)流程、事件處理時(shí)間)功能上的實(shí)際能力。其發(fā)現(xiàn)的漏洞和防護(hù)缺陷直接指導(dǎo)保護(hù)功能的改進(jìn)和優(yōu)化,確保安全控制真正有效。BAS也可以推動(dòng)組織提高NISTCSF成熟度的關(guān)鍵工具。通過BAS驗(yàn)證現(xiàn)有防護(hù)措施的有效性,指導(dǎo)安全策略和控制措施的優(yōu)化,提升保護(hù)能力、通過模擬攻擊,驗(yàn)證安全監(jiān)控系統(tǒng)(如SIEM、XDR)的檢測能力和告警的準(zhǔn)確性,提升威脅檢測效率、并可模擬事件發(fā)生,測試事件響應(yīng)流程和團(tuán)隊(duì)響應(yīng)時(shí)間,提升響應(yīng)效率和恢復(fù)能力。2.3.3BAS支撐風(fēng)險(xiǎn)管理理論的量化和優(yōu)先級(jí)排序風(fēng)險(xiǎn)管理理論關(guān)注風(fēng)險(xiǎn)的識(shí)別、分析、評(píng)估、處罰和監(jiān)控。將風(fēng)險(xiǎn)劃分為威脅事件發(fā)生頻率和事件造成的損失程度等因素,以量化評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)。而傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估方法難以精確的風(fēng)險(xiǎn)的真實(shí)影響,也難以支持基于成本實(shí)現(xiàn)的安全投資決策。BAS不同于傳統(tǒng)漏洞掃描基于CVSS評(píng)分,可結(jié)合漏洞在實(shí)際環(huán)境中的可利用性、資產(chǎn)的業(yè)務(wù)關(guān)鍵性以及已部署部分措施的效果。BAS通過持續(xù)模擬特定攻擊計(jì)算場景,提示在當(dāng)前防護(hù)下特定類型攻擊成功的概率或頻率,作為威脅事件頻率和漏洞可利用性數(shù)據(jù)的重要來源,將風(fēng)險(xiǎn)管理從定性推向定量評(píng)估,幫助企業(yè)提供更精準(zhǔn)的風(fēng)險(xiǎn)觀點(diǎn)和優(yōu)先級(jí)排序,從而優(yōu)化安全投資決策,提升安全在企業(yè)戰(zhàn)略層面溝通的效果。并且,BAS提供洞察的風(fēng)險(xiǎn)解析報(bào)告,將攻擊成功率、暴露面等技術(shù)指標(biāo)轉(zhuǎn)化為業(yè)務(wù)可理解的風(fēng)險(xiǎn)視圖,結(jié)合業(yè)務(wù)資產(chǎn)價(jià)值,提示潛在損失。使安全風(fēng)險(xiǎn)從定性方向定量評(píng)估,安全投資決策更加數(shù)據(jù)驅(qū)動(dòng),提升了安全在企業(yè)戰(zhàn)略領(lǐng)域的話語權(quán)。2.3.4BAS契合和支持國家內(nèi)生安全理念的落地內(nèi)生安全理論是我國獨(dú)創(chuàng)的網(wǎng)絡(luò)安全理論,旨在解決網(wǎng)絡(luò)空間中普遍存在的未知威脅和系統(tǒng)固有的安全問題。強(qiáng)調(diào)其網(wǎng)絡(luò)安全防護(hù)不應(yīng)依賴于外部的安全產(chǎn)品,應(yīng)從系統(tǒng)設(shè)計(jì)之初就通過動(dòng)態(tài)、偶發(fā)、危機(jī)等機(jī)制,使系統(tǒng)具備自適應(yīng)、自恢復(fù)、自防護(hù)的能力,從而構(gòu)建高可靠、高可信、高可用的安全體系。將安全植根到業(yè)務(wù)系統(tǒng)能力,實(shí)現(xiàn)事前防疫和防疫效果的統(tǒng)—。BAS理念與內(nèi)生安全理念高度契合,可以幫助企業(yè)將安全能力植根于業(yè)務(wù)系統(tǒng)中,實(shí)現(xiàn)事前防疫和防疫效果的統(tǒng)—,構(gòu)建真正自主性、韌性的網(wǎng)絡(luò)安全防護(hù)體系,是實(shí)現(xiàn)內(nèi)生安全的重要實(shí)踐路徑,能夠有效支撐國家特色理論的落地。l驗(yàn)證內(nèi)生安全能力:BAS通過持續(xù)面部模擬攻擊,可以驗(yàn)證系統(tǒng)在各種攻擊時(shí)(包括已知的APT組織的TTP和模擬的未知威脅)的免疫性和自適應(yīng)性。能夠評(píng)估內(nèi)生安全機(jī)制的實(shí)際防護(hù)效果,提供量化數(shù)據(jù),證明系統(tǒng)真正具備免疫能力。l推動(dòng)安全左移與安全設(shè)計(jì):內(nèi)生安全強(qiáng)調(diào)安全外殼設(shè)計(jì)。BAS可以支持在軟件開發(fā)生命周期的早期階段集成安全測試,持續(xù)驗(yàn)證代碼和架構(gòu)中的安全缺陷,將安全問題解決在成本最低的階段,從而從源頭上提升系統(tǒng)的內(nèi)生安全性。l實(shí)現(xiàn)事前防疫和防疫效果:BAS的以攻促防理念與境內(nèi)生安全的事前防疫不謀而合。通過常態(tài)化的攻擊模擬,BAS能夠幫助企業(yè)在威脅真正到來發(fā)現(xiàn)并補(bǔ)足防護(hù)短板,將安全關(guān)口前移。其量化評(píng)估能力則直接體現(xiàn)了防疫效果,使安全保衛(wèi)的價(jià)值可被逐步實(shí)現(xiàn),推動(dòng)安全建設(shè)從有前向好不好轉(zhuǎn)變。l支撐主動(dòng)安全治理:內(nèi)生安全主動(dòng)治理。BAS作為主動(dòng)驗(yàn)證工具,能夠持續(xù)提供風(fēng)險(xiǎn)安全洞察和防護(hù)反饋,賦能底層主動(dòng)識(shí)別、評(píng)估和處置風(fēng)險(xiǎn),從而實(shí)現(xiàn)風(fēng)險(xiǎn)前移、主動(dòng)防護(hù)的戰(zhàn)略目標(biāo),而不是被動(dòng)響應(yīng)。第三章BAS的能力框架和關(guān)鍵技術(shù)入侵與攻擊模擬(BAS)作為新—代安全驗(yàn)證工具,在企業(yè)整體安全能力建設(shè)中扮演著基石性的角色,能夠提升組織在不同安全成熟度模型下的水平,并形成—套涵蓋攻擊模擬、評(píng)估分析、集成自動(dòng)化及管理擴(kuò)展的綜合能力框架。3.1BAS的能力框架3.1.1BAS能力框架的構(gòu)成—個(gè)完整的BAS能力框架主要由攻擊模擬和仿真能力、評(píng)估與分析能力、集成與自動(dòng)化能力以及管理與擴(kuò)展能力等核心要素構(gòu)成。這些能力要素相互協(xié)作,共同賦予BAS強(qiáng)大的攻擊模擬、評(píng)估分析、集成自動(dòng)化及管理擴(kuò)展功能,使其能夠有效支持企業(yè)的網(wǎng)絡(luò)安全防護(hù)工作。BAS能力框架1)攻擊模擬和仿真能力攻擊模擬和仿真能力是BAS的關(guān)鍵組成部分,涵蓋了攻擊樣本庫、威脅情報(bào)、攻擊手法庫以及TTPs編輯引擎等內(nèi)容。其中,攻擊手法庫廣泛覆蓋了APT攻擊、勒索軟件攻擊、web攻擊、社會(huì)工程攻擊等多種常見網(wǎng)絡(luò)攻擊類型。通過多維度攻擊模擬功能,BAS能夠針對網(wǎng)絡(luò)、端點(diǎn)、web應(yīng)用、郵件、域、容器、工控系統(tǒng)以及數(shù)據(jù)等不同攻擊面的攻擊行為進(jìn)行精準(zhǔn)模擬,旨在全面評(píng)估企業(yè)安全防護(hù)體系在面對各類攻擊時(shí)的應(yīng)對能力。同時(shí),BAS支持攻擊鏈與場景編排,能夠?qū)蝹€(gè)攻擊行為組合成多級(jí)攻擊鏈,例如基于KillChain或ATT&CK模型,模擬出如APT組織攻擊、勒索攻擊病毒傳播以及內(nèi)部橫向移動(dòng)等復(fù)雜攻擊場景,并允許用戶根據(jù)自身需求進(jìn)行自定義編排,此外,BAS具備攻擊逃逸與變異能力,能夠模擬諸如流量交互、分塊傳輸、加密等攻擊逃逸技術(shù),并借助AI自動(dòng)生成變異攻擊,以此來測試防護(hù)系統(tǒng)對于新型或未知攻擊的能力,BAS還采用無害化流量模擬實(shí)現(xiàn)技術(shù),通過沙箱隔離、標(biāo)記、虛擬靶機(jī)、仿真接收端或滅活樣本等手段,避免模擬攻擊對企業(yè)的生產(chǎn)環(huán)境造成任何損害,以保障攻擊模擬的安全性。2)評(píng)估與分析能力評(píng)估與分析能力以評(píng)估分析引擎、數(shù)據(jù)采集與日志關(guān)聯(lián)為核心要素。在安全控制漏洞評(píng)估方面,BAS可實(shí)時(shí)檢測和評(píng)估各類安全產(chǎn)品,包括WAF、FW、IPS、EDR、DLP等的防護(hù)和檢測能力、策略覆蓋度以及穩(wěn)定性。同時(shí),BAS能夠構(gòu)建量化指標(biāo)體系(具體內(nèi)容暫未詳細(xì)闡述),幫助量化評(píng)估企業(yè)安全狀況。攻擊路徑與風(fēng)險(xiǎn)分析功能使得BAS可以自動(dòng)識(shí)別并可視化攻擊路徑,精準(zhǔn)定位關(guān)鍵攻擊點(diǎn),評(píng)估攻擊面的潛在影響,并結(jié)合業(yè)務(wù)屬性對風(fēng)險(xiǎn)進(jìn)行量化分析。防護(hù)畫像與趨勢分析功能則生成企業(yè)整體防護(hù)能力畫像,提供包括檢出率、爆發(fā)率、MTTD(平均檢測時(shí)間)、MTTR(平均修復(fù)時(shí)間)等量化指標(biāo),并對安全形勢變化趨勢進(jìn)行分析,助力企業(yè)及時(shí)發(fā)現(xiàn)安全威脅。此外,BAS還具備根因分析與修復(fù)建議功能,能夠深入分析攻擊失敗的根本原因,并為企業(yè)提供切實(shí)可行的修復(fù)建議和優(yōu)化方案。3)集成與自動(dòng)化能力BAS的價(jià)值很大程度上取決于其與企業(yè)現(xiàn)有安全生態(tài)系統(tǒng)的集成能力,實(shí)現(xiàn)數(shù)據(jù)共享、流程互補(bǔ)和自動(dòng)化。集成與自動(dòng)化能力是BAS價(jià)值實(shí)現(xiàn)的重要方面。BAS與企業(yè)現(xiàn)有安全生態(tài)系統(tǒng)的集成能力至關(guān)重要,能夠?qū)崿F(xiàn)數(shù)據(jù)共享、流程互補(bǔ)以及自動(dòng)化響應(yīng)。BAS可與SIEM/S0C/XDR聯(lián)動(dòng),通過與SIEM/XDR的集成,幫助企業(yè)發(fā)現(xiàn)安全運(yùn)營中的盲點(diǎn),優(yōu)化檢測流程降低,全局平均檢測時(shí)間(MTTD)。借助模擬攻擊,BAS能夠驗(yàn)證SIEM/XDR平臺(tái)中的檢測規(guī)則是否能有效識(shí)別威脅,并將模擬攻擊的日志注入SIEM/XDR,測試其關(guān)聯(lián)分析和威脅危害的準(zhǔn)確性。同時(shí),BAS的攻擊模擬結(jié)果和威脅情報(bào)可以反哺SIEM/XDR,幫助優(yōu)化相關(guān)規(guī)則,減少誤報(bào)和漏報(bào),提升威脅檢測的精準(zhǔn)度。與S0AR聯(lián)動(dòng)則可實(shí)現(xiàn)自動(dòng)化的閉環(huán)響應(yīng)。S0AR接收BAS的驗(yàn)證結(jié)果后,能夠自動(dòng)化執(zhí)行修復(fù)流程,形成從問題發(fā)現(xiàn)到響應(yīng)、驗(yàn)證和修復(fù)的完整閉環(huán)管理。當(dāng)BAS模擬攻擊觸發(fā)安全響應(yīng)后,S0AR平臺(tái)可自動(dòng)執(zhí)行—系列基線響應(yīng)動(dòng)作,如自動(dòng)封禁攻擊源IP、隔離受感染主機(jī)、發(fā)送通知等,而BAS則可對響應(yīng)的效果和及時(shí)性進(jìn)行驗(yàn)證。此外,BAS與ASM(攻擊面管理)的聯(lián)動(dòng)能夠?qū)崿F(xiàn)攻擊面精準(zhǔn)驗(yàn)證和風(fēng)險(xiǎn)可視化。—方面,BAS可利用ASM提供的企業(yè)IT資產(chǎn)外部和內(nèi)部暴露面信息、潛在漏洞數(shù)據(jù)等發(fā)現(xiàn)結(jié)果,對識(shí)別出的攻擊面和漏洞進(jìn)行精準(zhǔn)的攻擊模擬和驗(yàn)證,確認(rèn)其真實(shí)可利用性,并根據(jù)攻擊路徑進(jìn)行優(yōu)先級(jí)排序;另—方面,結(jié)合ASM的攻擊面視圖和BAS的攻擊路徑分析,能夠更全面地可視化企業(yè)的風(fēng)險(xiǎn)暴露狀況。4)管理與擴(kuò)展能力管理與擴(kuò)展能力為BAS的高效運(yùn)作提供了有力支持。集中管理與可視化功能通過提供統(tǒng)—的Web管理界面和儀表盤,使企業(yè)能夠可視化展示安全壓力、任務(wù)執(zhí)行、評(píng)估結(jié)果等關(guān)鍵信息,并支持多角色視圖,滿足不同用戶角色的查看和管理需求。節(jié)點(diǎn)部署與管理方面,BAS支持攻擊節(jié)點(diǎn)和目標(biāo)節(jié)點(diǎn)(機(jī)器人/Agent)的靈活部署,包括本地、云端、SaaS等多種部署方式,同時(shí)具備跨網(wǎng)絡(luò)、跨硬件形態(tài)的兼容性管理能力。攻擊庫更新功能確保BAS提供持續(xù)更新的攻擊庫,使其能夠與最新出現(xiàn)的攻擊手段以及APT組織TTP(戰(zhàn)術(shù)、技術(shù)與程序)保持同步更新。在合規(guī)性報(bào)告方面,BAS支持生成符合等保、關(guān)保等標(biāo)準(zhǔn)要求的報(bào)告,幫助企業(yè)滿足相關(guān)法規(guī)的合規(guī)要求。同時(shí),BAS還具備原生化與SaaS部署能力,能夠靈活滿足大型企業(yè)對于原生化部署以及中小型企業(yè)對于SaaS化部署的需求。此外,BAS還涵蓋知識(shí)庫管理功能以及安全和輕量化設(shè)計(jì),進(jìn)—步提升其管理與擴(kuò)展的效能。3.2關(guān)鍵技術(shù)BAS的關(guān)鍵技術(shù)以攻擊模擬引擎為核心,通過無害化化模擬攻擊技術(shù)確保在不影響業(yè)務(wù)的前提下進(jìn)行安全驗(yàn)證,通過多維度攻擊場景驗(yàn)證能模擬各種安全維度和環(huán)境的攻擊,并利用數(shù)據(jù)采集與分析對模擬過程中的數(shù)據(jù)進(jìn)行高效處理和可視化展示,最后通過報(bào)告支持則將數(shù)據(jù)轉(zhuǎn)化為可操作的洞察,提供量化指標(biāo)、風(fēng)險(xiǎn)排序和修復(fù)建議,輔助安全決策。BAS的關(guān)鍵技術(shù)3.2.1攻擊模擬引擎攻擊模擬引擎是BAS產(chǎn)品的核心中樞,主要承擔(dān)攻擊的生成與執(zhí)行任務(wù),確保攻擊模擬具備真實(shí)性、多樣性以及可控性等關(guān)鍵特性。1)攻擊庫與攻擊手法庫BAS系統(tǒng)內(nèi)置并持續(xù)更新海量的攻擊載荷及攻擊庫。攻擊庫的來源廣泛,包括最新威脅情報(bào)、APT組織攻擊報(bào)告、實(shí)戰(zhàn)攻防經(jīng)驗(yàn)、CVE漏洞分析以及惡意樣本研究等。庫中涵蓋了多種攻擊類型,例如web應(yīng)用漏洞利用(如SQL注入、XSS、webshell等)、勒索病毒攻擊(包括勒索全鏈條、加密行為等)、APT組織攻擊(如釣魚郵件投遞、惡意文件傳播、命令與控制C2、持久化駐留等)、惡意軟件攻擊(如后門、木馬、挖礦程序等)、網(wǎng)絡(luò)流量攻擊以及社會(huì)工程學(xué)攻擊(如釣魚郵件、釣魚網(wǎng)站)等。部分國內(nèi)領(lǐng)先的廠商,將AI、機(jī)器學(xué)習(xí)以及大型語言模型技術(shù)應(yīng)用于攻擊載荷和手法庫的生成過程。借助這些先進(jìn)技術(shù),實(shí)現(xiàn)攻擊的智能化、變異以及動(dòng)態(tài)適應(yīng)能力,使得攻擊模擬更具真實(shí)性和未知性,能夠有效測試防護(hù)系統(tǒng)對于新型或變種攻擊的抵御能力。2)TTPs(戰(zhàn)術(shù)、技術(shù)和過程)編輯與編排目前,多數(shù)BAS產(chǎn)品以MITREATT&CK框架為基石,對攻擊者的策略、技術(shù)和程序進(jìn)行組織與映射。這種基于框架的標(biāo)準(zhǔn)化方式,為攻擊模擬提供了統(tǒng)—且規(guī)范的語言和格式化方法。在攻擊鏈編排方面,可將單—攻擊行為整合成多階段的攻擊鏈,即Playbook,精準(zhǔn)模擬復(fù)雜且真實(shí)的APT攻擊路徑,例如從最初的入侵訪問直至數(shù)據(jù)滲出的完整殺傷鏈。同時(shí),用戶能夠依據(jù)自身業(yè)務(wù)環(huán)境特點(diǎn)以及最新威脅情報(bào),自定義攻擊規(guī)則和測試示例,實(shí)現(xiàn)全面且有針對性的安全驗(yàn)證。此外,攻擊模擬引擎支持用戶對TTP進(jìn)行靈活地編輯和編排,構(gòu)建契合特定安全測試需求的攻擊場景。具體而言:部分國內(nèi)領(lǐng)先廠商的BAS系統(tǒng)能夠基于對目標(biāo)網(wǎng)絡(luò)拓?fù)涞淖詣?dòng)分析并規(guī)劃所有可行的攻擊路徑,通常運(yùn)用攻擊圖理論進(jìn)行建模。并且,依據(jù)攻擊執(zhí)行結(jié)果以及目標(biāo)環(huán)境的動(dòng)態(tài)變化,實(shí)時(shí)動(dòng)態(tài)調(diào)整攻擊路徑和攻擊手段,從而更為逼真地模擬攻擊者的行為邏輯。3.2.2無害化化模擬攻擊技術(shù)國內(nèi)BAS廠商在實(shí)現(xiàn)無害化化模擬攻擊方面,采取了多管齊下、創(chuàng)新并舉的技術(shù)路線,共同構(gòu)筑了安全可靠的驗(yàn)證環(huán)境,確保了攻擊模擬過程既能有效驗(yàn)證安全防御能力,又不會(huì)對企業(yè)正常業(yè)務(wù)造成任何負(fù)面影響。BAS的無害化化模擬攻擊技術(shù)1)流量級(jí)無害化與行為可控模擬:通過數(shù)據(jù)包標(biāo)記與行為精巧重構(gòu)BAS產(chǎn)品通過數(shù)據(jù)包標(biāo)記(packetTagging)與流量重放技術(shù),能夠在不改變原有網(wǎng)絡(luò)拓?fù)浜筒粚?shí)際部署額外攻擊設(shè)備的前提下,精確控制和追蹤模擬攻擊流量。其核心原理是,在生成的模擬攻擊數(shù)據(jù)包中,系統(tǒng)會(huì)巧妙地嵌入特殊的的標(biāo)識(shí)符,給模擬攻擊流量打上—個(gè)獨(dú)特的指紋。BAS的行為模擬例如,在模擬SQL注入攻擊時(shí),BAS系統(tǒng)并不會(huì)發(fā)送真正會(huì)破壞數(shù)據(jù)庫的惡意代碼。例如,在看似正常的SQL查詢語句中,嵌入—個(gè)獨(dú)特的、可被追蹤的注釋或參數(shù)值,如SELECT*FR0MUsersWHERE但能被BAS追蹤。接著,BAS系統(tǒng)會(huì)將帶有這些特殊標(biāo)識(shí)符的模擬攻擊流量重放到目標(biāo)網(wǎng)絡(luò)中經(jīng)過的安全設(shè)備(如WAF、IPS、防火墻),這些安全設(shè)備會(huì)像對待真實(shí)攻擊—樣對其進(jìn)行檢測和阻斷。如果設(shè)備識(shí)別到了攻擊行為,BAS的監(jiān)控模塊便會(huì)捕獲其告警或阻斷信息,以此來驗(yàn)證安全設(shè)備是否具有檢測這個(gè)攻擊的能力。類似地,在模擬網(wǎng)絡(luò)端口掃描時(shí),BAS會(huì)發(fā)送探測報(bào)文,但會(huì)限制連接數(shù)量和頻率,并通過標(biāo)記區(qū)分,避免被誤判為真實(shí)DDoS攻擊或造成目標(biāo)服務(wù)過載。這種技術(shù)實(shí)現(xiàn)了在不實(shí)際觸發(fā)漏洞利用、不真實(shí)修改系統(tǒng)狀態(tài)的前提下,對安全設(shè)備檢測能力的精準(zhǔn)驗(yàn)證。有廠商通過此方式,在模擬真實(shí)攻擊效果的同時(shí),避免對生產(chǎn)環(huán)境造成任何負(fù)面影響,保障業(yè)務(wù)連續(xù)性。l綠盟科技采用流量標(biāo)記技術(shù),如在模擬SQL注入等場景中,將攻擊載荷自動(dòng)替l墨云科技采用流量重放和插入動(dòng)態(tài)ID2)探針的輕量化與安全自主控制:Agent端的“隱身”與“自愈”BAS通常需要在目標(biāo)服務(wù)器或終端上部署輕量級(jí)的Agent/探針,以模擬本地攻擊行為。這些Agent對系統(tǒng)資源占用極低,確保不影響業(yè)務(wù)性能,并且具備高度受控的執(zhí)行能力和安全自主性。BAS的輕量探針和熱加載技術(shù)攻擊模塊熱加載技術(shù)核心原理是Agent平時(shí)只加載基礎(chǔ)通信模塊,就像—個(gè)“空殼”程序;僅在執(zhí)行特定安全驗(yàn)證任務(wù)時(shí),才會(huì)臨時(shí)動(dòng)態(tài)地加載相應(yīng)的攻擊或仿真模塊,完成任務(wù)后這些模塊會(huì)被立即卸載,降低了Agent自身可能存在的安全隱患,并避免了對生產(chǎn)環(huán)境的持續(xù)性干擾,實(shí)現(xiàn)了“用完即走”的無痕驗(yàn)證。另外,部分廠商采用Agent休眠技術(shù),即Agent在沒安全驗(yàn)證任務(wù)執(zhí)行—段時(shí)間內(nèi)自動(dòng)進(jìn)行休眠,而在被分配驗(yàn)證任務(wù)后由守護(hù)進(jìn)程再次叫醒Agent。在模擬終端惡意行為時(shí),例如模擬創(chuàng)建惡意進(jìn)程,Agent可能不會(huì)真正啟動(dòng)cmd.exe來執(zhí)行powershell.exe并造成破壞,而是會(huì)在系統(tǒng)日志中模擬—個(gè)進(jìn)程創(chuàng)建事件,或在受控的虛擬化環(huán)境中模擬進(jìn)程的運(yùn)行,并觀察EDR(終端檢測與響應(yīng))軟件是否發(fā)出告警。再如,模擬文件修改或創(chuàng)建,Agent只會(huì)創(chuàng)建虛擬文件或在內(nèi)存中進(jìn)行操作,而不會(huì)實(shí)際寫入磁盤,確保不對真實(shí)數(shù)據(jù)造成任何影響。同時(shí),Agent在模擬數(shù)據(jù)外傳時(shí),也僅發(fā)送空包或帶有特殊標(biāo)記的無害數(shù)據(jù),避免真實(shí)敏感數(shù)據(jù)泄露,從而保障了數(shù)據(jù)完整性與系統(tǒng)安全。ll華云安采用攻擊模塊熱加載技術(shù),其探針僅在執(zhí)行安全驗(yàn)證任務(wù)時(shí)臨時(shí)加載攻擊和仿真模塊,任載,大幅降低了資源占用,并避免了探針自身可能存在的安全隱患。這種設(shè)計(jì)實(shí)現(xiàn)了用完即走的無痕驗(yàn)證。3)不對漏洞直接利用不對漏洞進(jìn)行直接利用是BAS與傳統(tǒng)自動(dòng)化滲透測試的核心區(qū)別,僅模擬攻擊者嘗試?yán)寐┒吹男袨?如發(fā)送特定格式的請求),但不會(huì)實(shí)際觸發(fā)漏洞并侵入系統(tǒng)或修改目標(biāo)數(shù)據(jù),確保了驗(yàn)證的安全性。不對漏洞直接利用BAS發(fā)送的請求僅僅是到觸發(fā)安全設(shè)備檢測的程度,這種精確控制,確保了在評(píng)估防御能力的同時(shí),不為攻擊者留下任何可乘之機(jī)。BAS精準(zhǔn)控制例如,對于—個(gè)已知的遠(yuǎn)程代碼執(zhí)行漏洞,BAS會(huì)發(fā)送符合該漏洞觸發(fā)特征的請求,但不會(huì)包含真正執(zhí)行惡意命令的payload。發(fā)送后觀察WAF或IpS是否能檢測到此請求并進(jìn)行阻斷。如果防御設(shè)備未能檢測到,BAS僅會(huì)記錄該漏洞可被利用,但不會(huì)發(fā)送真正能獲取系統(tǒng)控制權(quán)或執(zhí)行惡意操作的payload。這種精確控制可以探虛實(shí),但不會(huì)傷筋骨,避免在生產(chǎn)環(huán)境中制造新的安全風(fēng)險(xiǎn)或留下可乘之機(jī)。部分領(lǐng)先的BAS產(chǎn)品采用專利技術(shù)實(shí)現(xiàn)這—點(diǎn),通過特定的攻擊向量、評(píng)估機(jī)制和算法,對業(yè)務(wù)進(jìn)行無害化傷的風(fēng)險(xiǎn)評(píng)估。ll灰度安全不對漏洞直接利用,也不依賴實(shí)際生產(chǎn)設(shè)備作為落點(diǎn)滲透,對業(yè)務(wù)進(jìn)行無害化傷的風(fēng)險(xiǎn)評(píng)估,從而保障了驗(yàn)證過程的安全性。l塞訊科技實(shí)現(xiàn)不對漏洞直接利用,通過僅發(fā)送符合該漏洞觸發(fā)特征的請求,對真實(shí)對外暴露業(yè)務(wù)的目標(biāo)URL的ll矢安科技通過技術(shù)手段最大程度保留了漏洞利用的特征,在攻擊模擬時(shí)實(shí)現(xiàn)了僅讓安全設(shè)備對漏洞利用做出回應(yīng),后端的目標(biāo)系統(tǒng)并不會(huì)真實(shí)響應(yīng)。該技術(shù)手段讓安全驗(yàn)證更徹底、更安全。4)隔離環(huán)境與仿真接收端:高風(fēng)險(xiǎn)模擬的“安全氣泡”與“虛擬替身”為了安全模擬—些高風(fēng)險(xiǎn)或難以在生產(chǎn)直接執(zhí)行的攻擊行為(如零日漏洞利用、復(fù)雜勒索病毒行為),利用沙箱隔離技術(shù),實(shí)現(xiàn)運(yùn)行真實(shí)的惡意樣本,測試安全產(chǎn)品的檢測能力,確保任何惡意行為的影響范圍被嚴(yán)格限制,不擴(kuò)散到生產(chǎn)網(wǎng)絡(luò)。BAS隔離環(huán)境其工作原理是在—個(gè)高度受控的、虛擬化環(huán)境中,BAS運(yùn)行真實(shí)的惡意樣本,測試安全設(shè)備的檢測能力,并在測試完成后通過快照技術(shù)(對虛擬機(jī)狀態(tài)的即時(shí)備份)快速回滾環(huán)境到初始狀態(tài),確保任何惡意行為的影響范圍被嚴(yán)格限制在隔離區(qū)內(nèi),不擴(kuò)散到生產(chǎn)網(wǎng)絡(luò)。例如,在模擬勒索病毒攻擊時(shí),BAS會(huì)在—個(gè)與生產(chǎn)環(huán)境完全隔離的沙箱中投放勒索樣本,觀察其是否能成功加密沙箱內(nèi)的虛擬文件,以及終端安全產(chǎn)品是否能及時(shí)檢測并阻止,而不會(huì)對生產(chǎn)系統(tǒng)造成任何實(shí)際加密。某些廠商的“受保護(hù)的沙盤”組件,擁有獨(dú)立的虛擬網(wǎng)絡(luò)和內(nèi)置DNS服務(wù)器(響應(yīng)虛假IP地址),能夠隔離惡意軟件的網(wǎng)絡(luò)連接,阻止其真實(shí)外聯(lián)。BAS隔離環(huán)境工作原理ll綠盟科技采用沙箱隔離技術(shù),可以在沙箱中進(jìn)行攻擊模擬,確保真實(shí)資產(chǎn)無需感知系統(tǒng)檢測分析過程,實(shí)現(xiàn)零侵l塞訊科技即采用受保護(hù)的沙盤,具有獨(dú)立的虛擬網(wǎng)絡(luò)和內(nèi)置DNS服務(wù)器(響應(yīng)虛假IP地址),能夠隔離網(wǎng)絡(luò)連接,并在運(yùn)行惡意樣本前后自動(dòng)創(chuàng)建操作系統(tǒng)鏡像的快照并回滾,確保實(shí)際環(huán)境不被感染。5)“滅活”樣本與威脅控制:讓“毒藥”變“試劑”“滅活”樣本與威脅控制:對于涉及惡意代碼的模擬,廠商會(huì)采用特定的技術(shù)手段確保其無害化。針對涉及惡意代碼的模擬,BAS廠商會(huì)采用特定的技術(shù)手段確保其無害化,這使得BAS能夠安全地測試防御系統(tǒng)對病毒、木馬、勒索軟件等惡意代碼的檢測和阻斷能力。BAS滅活技術(shù)廠商通過分析真實(shí)的惡意修改樣本,進(jìn)行重寫攻擊樣本處理,保留攻擊行為特征(如文件掃描、提權(quán)嘗試、解密等觸發(fā)檢測的關(guān)鍵模式)的同時(shí),徹底破壞了其核心的有害代碼和破壞性操作(如刪除文件、加密硬盤、建立真實(shí)通信隧道等)由此產(chǎn)生的“滅活”病毒樣本,僅作為安全測試適配器,只為觸發(fā)防御系統(tǒng)的檢測邏輯,不具備真實(shí)的攻擊能力。BAS滅活示例例如,在模擬—個(gè)勒索軟件攻擊時(shí),滅活樣本會(huì)模擬文件讀取、重命名文件、生成勒索信息彈窗口等行為,但核心的加密模塊會(huì)被刪除,從而不會(huì)真實(shí)加密用戶數(shù)據(jù)。去除不可控行為,例如不會(huì)激活運(yùn)行病毒樣本文件,只保留觸發(fā)安全產(chǎn)品檢測的特征,從而確保模擬的真實(shí)性和安全性。ll塞訊科技對于無法部署沙盤環(huán)境的客戶提供了無害化樣本進(jìn)行驗(yàn)證,也提供通過模擬惡意樣本l矢安科技的攻鑒BAS產(chǎn)品在攻擊樣本處理時(shí),通過分析真實(shí)惡意樣本并重寫攻擊樣本,在保留攻擊特征的同時(shí)去6)內(nèi)置熔斷機(jī)制與安全:模擬攻擊的“安全保險(xiǎn)絲”BAS產(chǎn)品普遍內(nèi)置自動(dòng)化熔斷機(jī)制作為安全防護(hù)的最后—道屏障,能夠在模擬攻擊出現(xiàn)風(fēng)險(xiǎn)時(shí),立即自動(dòng)終止測試任務(wù),并將風(fēng)險(xiǎn)降至最低,這種機(jī)制構(gòu)筑了最后—道防線。BAS熔斷機(jī)制BAS系統(tǒng)在模擬攻擊過程中會(huì)持續(xù)監(jiān)控目標(biāo)系統(tǒng)和網(wǎng)絡(luò)的狀態(tài),通過實(shí)時(shí)監(jiān)測系統(tǒng)資源(如cPU、內(nèi)存)的異常拓?fù)?、服?wù)響應(yīng)延遲、關(guān)鍵文件突然變更、或異常網(wǎng)絡(luò)流量模式等潛在信號(hào),—旦檢測到任何異?；虺鲱A(yù)設(shè)安全閾值的情況,系統(tǒng)會(huì)立即自動(dòng)終止測試任務(wù),將風(fēng)險(xiǎn)降至最低。確保在極端或不可預(yù)見的情況下,能夠迅速停止可能的影響,類似電路中的保險(xiǎn)絲,在過載時(shí)自動(dòng)切斷。同時(shí),BAS系統(tǒng)在設(shè)計(jì)上會(huì)遵循最小權(quán)限原則,其通知和管理平臺(tái)只需獲取完成驗(yàn)證任務(wù)所需的最小權(quán)限,并提供完善的環(huán)境回滾機(jī)制,確保即使發(fā)生意外,也能快速環(huán)境到驗(yàn)證前的安全狀態(tài)。ll綠盟科技產(chǎn)品