2017年入侵和攻擊模擬(Breach and Attack Simulation)首次出現(xiàn)于Gartner Hyper Cycle中，被定位為一種正在崛起的技術(shù)。2022年Gartner最新發(fā)布的八大安全和風(fēng)險(xiǎn)管理趨勢(shì)中，入侵和攻擊模擬（BAS）再次被提及。

2021安全運(yùn)營(yíng)技術(shù)成熟度曲線

入侵和攻擊模擬（BAS）技術(shù)通過持續(xù)模擬針對(duì)企業(yè)資產(chǎn)進(jìn)行攻擊的劇本及payload，側(cè)方位驗(yàn)證企業(yè)安全防御的有效性，正如 Gartner 描述的，此類技術(shù)工具 “可供安全團(tuán)隊(duì)以一致的方式持續(xù)測(cè)試安全控制措施，貫穿從預(yù)防到檢測(cè)乃至響應(yīng)的整個(gè)過程”。

BAS，一種進(jìn)階的檢測(cè)技術(shù)

現(xiàn)有安全市場(chǎng)中用于校驗(yàn)企業(yè)網(wǎng)絡(luò)安全的工具及解決方案不計(jì)其數(shù)，典型的有基線審查、漏掃、態(tài)勢(shì)感知、漏洞管理、應(yīng)用安全測(cè)試、滲透測(cè)試工具及人工安服等，BAS的出現(xiàn)不僅能更好的協(xié)助企業(yè)加固網(wǎng)絡(luò)安全，且不同于傳統(tǒng)型測(cè)試工具。作為一種進(jìn)階的檢測(cè)工具，具體體現(xiàn)如下：

持續(xù)性攻防驗(yàn)證

傳統(tǒng)基線審查技術(shù)及產(chǎn)品關(guān)注網(wǎng)絡(luò)內(nèi)一系列產(chǎn)品的配置是否達(dá)到企業(yè)標(biāo)準(zhǔn)并滿足相關(guān)安全規(guī)范要求，標(biāo)準(zhǔn)及規(guī)范常由法規(guī)和合同強(qiáng)制生成。基線審查的標(biāo)準(zhǔn)及規(guī)范是否能夠應(yīng)對(duì)現(xiàn)實(shí)環(huán)境中的威脅，無從驗(yàn)證。

BAS技術(shù)關(guān)注效果，持續(xù)性監(jiān)測(cè)與檢測(cè)網(wǎng)絡(luò)環(huán)境，可以對(duì)目標(biāo)網(wǎng)絡(luò)環(huán)境進(jìn)行全面性的安全評(píng)估。

更深層次的漏洞檢測(cè)

傳統(tǒng)漏洞掃描指基于漏洞數(shù)據(jù)庫(kù)，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)（滲透攻擊）行為，掃描得出的漏洞為已發(fā)布或已知的漏洞。

BAS側(cè)重于攻擊的多個(gè)階段。包括數(shù)據(jù)滲透、橫向移動(dòng)和其他與可利用漏洞無關(guān)的攻擊者行動(dòng)。

自動(dòng)化迭代驗(yàn)證

傳統(tǒng)滲透測(cè)試需要通過專業(yè)安服人員使用滲透測(cè)試工具手工進(jìn)行，測(cè)試結(jié)果的驗(yàn)證也需要人工逐條進(jìn)行，驗(yàn)證路徑較為單一。

BAS通常以持續(xù)的方式進(jìn)行自動(dòng)化運(yùn)行，針對(duì)驗(yàn)證階段，BAS關(guān)注網(wǎng)絡(luò)的全局驗(yàn)證，且不會(huì)向目標(biāo)發(fā)送真實(shí)的漏洞payload。

BAS，一種降低成本和風(fēng)險(xiǎn)的技術(shù)

BAS提供量化指標(biāo)

據(jù)IDC不完全統(tǒng)計(jì)，至2022年全球安全開支預(yù)計(jì)超過1300億美元。各行業(yè)于安全領(lǐng)域的投入也呈逐年增加趨勢(shì)，然而無論安全技術(shù)還是安全產(chǎn)品，是否真正起到安全作用，絕大多數(shù)甲方無法準(zhǔn)確掌握。BAS能夠高效一致地衡量企業(yè)現(xiàn)有安全檢測(cè)功能及運(yùn)營(yíng)的有效性，依據(jù)測(cè)試結(jié)果有效幫助企業(yè)有針對(duì)性的完成安全配置及決策。

BAS輔助紅藍(lán)演習(xí)

BAS可以有效輔助紅隊(duì)進(jìn)行滲透測(cè)試工作，通過BAS測(cè)試輸出結(jié)果，準(zhǔn)確掌握安全體系中可利用的風(fēng)險(xiǎn)進(jìn)行進(jìn)一步滲透，極大節(jié)省滲透測(cè)試時(shí)間及成本投入。反觀藍(lán)隊(duì)也可通過BAS測(cè)試內(nèi)容未雨綢繆，在危險(xiǎn)發(fā)生前，及時(shí)發(fā)現(xiàn)及修復(fù)存在的安全風(fēng)險(xiǎn)，縮減系統(tǒng)脆弱面的暴露時(shí)間。同時(shí)BAS也可針對(duì)滲透測(cè)試結(jié)果進(jìn)行深層驗(yàn)證。

基于傳統(tǒng)滲透測(cè)試與BAS測(cè)試的需求，墨云科技智能自動(dòng)化風(fēng)險(xiǎn)驗(yàn)證平臺(tái)Vackbot是企業(yè)的不二之選。

北京墨云科技有限公司是國(guó)率先家利用人工智能技術(shù)模擬黑客入侵，驗(yàn)證用戶安全控制有效性的網(wǎng)絡(luò)安全服務(wù)提供商，資深安全技術(shù)專家團(tuán)隊(duì)及安全服務(wù)工程師，專注為企業(yè)級(jí)用戶提供智能化、自動(dòng)化網(wǎng)絡(luò)安全攻防解決方案。

墨云Vackbot智能自動(dòng)化攻擊模擬平臺(tái)集滲透測(cè)試與BAS測(cè)試于一體，利用AI智能引擎代替?zhèn)鹘y(tǒng)人工測(cè)試，自動(dòng)迭代攻擊發(fā)現(xiàn)深層次資產(chǎn)風(fēng)險(xiǎn)，高效可控，滿足用戶滲透測(cè)試與BAS測(cè)試的需求，極大提升測(cè)試效率的同時(shí)，降低用戶成本的投入。

審核編輯：符乾江