如今，網(wǎng)絡(luò)安全已成為企業(yè)數(shù)字化發(fā)展中的一個(gè)重要議題。然而，盡管企業(yè)實(shí)施了各種安全控制措施和攻擊防護(hù)程序，但許多組織仍然發(fā)現(xiàn)他們的網(wǎng)絡(luò)安全戰(zhàn)略并不夠全面，仍然會(huì)面臨較大的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。

要全面了解組織的整體安全性是一項(xiàng)艱巨的任務(wù)，因?yàn)楹芏鄠鹘y(tǒng)的測(cè)試方法都存在局限性。在此背景下，組織開始轉(zhuǎn)向一種新的工具——入侵和攻擊模擬（BAS）。BAS是一種功能強(qiáng)大的工具，主要用于測(cè)試IT安全工作、持續(xù)模擬攻擊和運(yùn)行場(chǎng)景。大量的應(yīng)用實(shí)踐表明，BAS能夠?yàn)槠髽I(yè)是否足以抵御日益復(fù)雜的攻擊提供有效見解。

實(shí)施BAS的必要性

目前，BAS已成為一種較流行的新一代網(wǎng)絡(luò)安全技術(shù)，企業(yè)組織不僅能夠通過BAS對(duì)網(wǎng)絡(luò)進(jìn)行持續(xù)安全測(cè)試發(fā)現(xiàn)薄弱環(huán)節(jié)或安全漏洞，還可以利用這些工具來計(jì)算總體風(fēng)險(xiǎn)評(píng)分，確定可操作補(bǔ)救見解的優(yōu)先級(jí)，并分析現(xiàn)有安全控制措施的性能。具體來說，BAS工具可以為組織的數(shù)字化發(fā)展提供如下好處：

? 使企業(yè)能夠了解攻擊事件的各個(gè)階段；

? 持續(xù)模擬網(wǎng)絡(luò)攻擊；

? 衡量已部署的安全控制措施；

? 改善網(wǎng)絡(luò)安全態(tài)勢(shì)；

? 增加網(wǎng)絡(luò)可見性；

? 提供對(duì)攻擊者的自動(dòng)化和持續(xù)監(jiān)控；

? 在橫向移動(dòng)的端點(diǎn)上模擬惡意軟件攻擊；

? 識(shí)別漏洞并確定修復(fù)步驟的優(yōu)先級(jí)；

? 更快地規(guī)劃安全投資；

? 通過合并紅藍(lán)團(tuán)隊(duì)技術(shù)提供持續(xù)的覆蓋；

? 風(fēng)險(xiǎn)管理；

? 提供對(duì)攻擊路徑的感知；

? 發(fā)現(xiàn)導(dǎo)致關(guān)鍵資產(chǎn)暴露的故障。

實(shí)施BAS的關(guān)鍵步驟

在實(shí)際應(yīng)用中，有多種不同的方法來應(yīng)用和實(shí)施BAS活動(dòng)，這會(huì)因組織類型、規(guī)模、業(yè)務(wù)范圍和相關(guān)的網(wǎng)絡(luò)安全要求而異。企業(yè)在實(shí)際開展BAS應(yīng)用時(shí)，可以參考以下的實(shí)施步驟建議：

1識(shí)別網(wǎng)絡(luò)中的脆弱區(qū)域

在進(jìn)行BAS活動(dòng)之前，組織應(yīng)該提前確定網(wǎng)絡(luò)中存在較大風(fēng)險(xiǎn)隱患的脆弱區(qū)域。這可以通過不同的方式完成，包括漏洞掃描、人工滲透測(cè)試和安全性審計(jì)。這主要目的是了解潛在的攻擊面，并確定任何弱點(diǎn)和漏洞。例如，對(duì)網(wǎng)絡(luò)進(jìn)行漏洞掃描，以識(shí)別任何可能易受攻擊的過時(shí)軟件或未打補(bǔ)丁的系統(tǒng)。一旦確定了網(wǎng)絡(luò)中的脆弱區(qū)域，就可將其作為BAS測(cè)試工作的起點(diǎn)。在此過程中，組織可以優(yōu)先識(shí)別出哪些領(lǐng)域值得重點(diǎn)關(guān)注。

2創(chuàng)建基線安全模型

當(dāng)企業(yè)發(fā)現(xiàn)并確定了脆弱區(qū)域，接下來要做的就是建立基線安全模型。這個(gè)特定的模型將表示公司安全控制的當(dāng)前狀態(tài)。它可以為后續(xù)的安全性衡量改進(jìn)工作提供必要的參考。

例如，基線安全模型應(yīng)該包括公司防火墻、入侵檢測(cè)系統(tǒng)和其他安全控制的當(dāng)前配置。當(dāng)企業(yè)開始執(zhí)行BAS活動(dòng)之后，它可以作為度量其安全控制有效性的起點(diǎn)。

3選擇合適的BAS工具

要持續(xù)性地開展BAS測(cè)試工作并不容易，企業(yè)應(yīng)該選擇合適的BAS工具。市場(chǎng)上有各種各樣的BAS工具，每種工具都具有不同的功能。例如，如果組織的主要關(guān)注點(diǎn)是測(cè)試其網(wǎng)絡(luò)安全控制，那么最好的選擇是使用基于網(wǎng)絡(luò)的BAS工具。而在其他的需求背景下，他們則可以選擇另外的BAS工具，例如基于端點(diǎn)的、基于云的，以及基于他們的關(guān)注點(diǎn)和需求的其他工具。

4進(jìn)行模擬攻擊測(cè)試

當(dāng)以上的工作完成后，企業(yè)接下來要做的就是進(jìn)行BAS練習(xí)。這意味著要根據(jù)公司的關(guān)注點(diǎn)和需求進(jìn)行一系列測(cè)試。

這一系列測(cè)試可以包括在網(wǎng)絡(luò)、端點(diǎn)、web應(yīng)用程序、電子郵件系統(tǒng)、無線網(wǎng)絡(luò)或云基礎(chǔ)設(shè)施上進(jìn)行測(cè)試。例如，如果公司關(guān)心的是基于電子郵件的安全控制。他們將進(jìn)行模擬網(wǎng)絡(luò)釣魚攻擊，以測(cè)試電子郵件安全控制的有效性。它包括向不同的員工發(fā)送虛假的網(wǎng)絡(luò)釣魚電子郵件，并測(cè)量有多少人受到攻擊。

5分析結(jié)果并改進(jìn)

在成功的BAS應(yīng)用中，企業(yè)還必須及時(shí)分析結(jié)果并改進(jìn)公司的安全控制。組織需要審查由BAS工具提供的每一份報(bào)告和分析，并找到需要改進(jìn)的地方。例如，回到網(wǎng)絡(luò)釣魚的例子，一旦公司采取并衡量了結(jié)果，它就可以培訓(xùn)這些員工，并向他們提供更多關(guān)于網(wǎng)絡(luò)安全協(xié)議的信息，甚至可以讓他們參加研討會(huì)。組織可能還需要實(shí)現(xiàn)額外的電子郵件安全控制，例如雙因素身份驗(yàn)證或高級(jí)垃圾郵件過濾。

BAS實(shí)施中的挑戰(zhàn)

BAS是保護(hù)現(xiàn)代企業(yè)組織免受網(wǎng)絡(luò)攻擊的有效方法之一，但在其實(shí)踐過程中，也會(huì)存在諸多的應(yīng)用挑戰(zhàn)。

1組織的專業(yè)知識(shí)和能力有限

這是組織在實(shí)施BAS方案時(shí)不得不面對(duì)的一大挑戰(zhàn)。許多組織都缺乏實(shí)現(xiàn)BAS的知識(shí)和專業(yè)技能。例如，員工有限的小型企業(yè)可能缺乏必要的技能來進(jìn)行任何BAS練習(xí)；另一方面，即便是對(duì)大公司，可能很難找到具有所需專業(yè)知識(shí)的合格人員來運(yùn)行不同的BAS測(cè)試；

2改變傳統(tǒng)工作流程

這是組織在實(shí)施BAS時(shí)可能面臨的另一個(gè)挑戰(zhàn)。公司中的安全團(tuán)隊(duì)或IT部門可能會(huì)抵制實(shí)施BAS，因?yàn)樗麄儞?dān)心會(huì)破壞他們的工作流程，缺乏對(duì)其應(yīng)用價(jià)值的理解，或者對(duì)未知的恐懼。此外，業(yè)務(wù)部門員工也可能不愿意參與BAS測(cè)試技術(shù)，擔(dān)心影響他們的日常生產(chǎn)活動(dòng)，或者可能被視為監(jiān)控其活動(dòng)的一種方式；

3安全預(yù)算不足

對(duì)于資源有限的組織來說，實(shí)現(xiàn)BAS技術(shù)可能是昂貴的。執(zhí)行測(cè)試運(yùn)行所需的BAS工具、許可費(fèi)用和人員成本可能非常高。小型企業(yè)需要盡可能申請(qǐng)并分配必要的資金來購(gòu)買和維護(hù)BAS工具；另一方面，大型公司和組織也需要權(quán)衡BAS與其他網(wǎng)絡(luò)安全投資的投資性價(jià)比。

4難以與現(xiàn)有安全基礎(chǔ)設(shè)施集成

將BAS與現(xiàn)有的安全基礎(chǔ)設(shè)施集成可能也是一大挑戰(zhàn)。組織將需要確保他們的BAS工具可以輕松地與現(xiàn)有的安全工具集成，包括防火墻、入侵檢測(cè)系統(tǒng)、安全信息和事件管理（SIEM）系統(tǒng)。

BAS工具的評(píng)估選型

在諸多市場(chǎng)因素的共同驅(qū)動(dòng)下，BAS技術(shù)的應(yīng)用正在迅速興起，而行業(yè)中目前也不乏BAS服務(wù)提供商。企業(yè)需要基于自己的整體安全目標(biāo)和管理需求來選擇合適的BAS工具/方案，以下評(píng)估因素可以幫助企業(yè)選型BAS供應(yīng)商，并加快決策。

1了解組織當(dāng)前的實(shí)際專業(yè)水平

在企業(yè)開始尋找合適的BAS工具之前，首先必須分析當(dāng)前現(xiàn)有的安全運(yùn)營(yíng)水平和先進(jìn)工具應(yīng)用能力。如果企業(yè)有一個(gè)經(jīng)驗(yàn)豐富的團(tuán)隊(duì)可以處理這些工具，建議選擇更為專業(yè)且功能強(qiáng)大的BAS工具。而如果企業(yè)的IT團(tuán)隊(duì)缺乏經(jīng)驗(yàn)，則建議尋找易于使用的服務(wù)化BAS方案。

2了解企業(yè)網(wǎng)絡(luò)應(yīng)用場(chǎng)景的復(fù)雜性

具有簡(jiǎn)單布局的BAS工具可以按照企業(yè)的期望交付掃描結(jié)果。然而，有一些具有顯著復(fù)雜性的BAS工具可能會(huì)使企業(yè)網(wǎng)絡(luò)暴露于不可控的風(fēng)險(xiǎn)之中。因此，企業(yè)在尋找BAS工具時(shí)，請(qǐng)確保衡量其針對(duì)網(wǎng)絡(luò)場(chǎng)景的復(fù)雜性級(jí)別。

3獲得如何解決問題的建議

企業(yè)的安全運(yùn)營(yíng)團(tuán)隊(duì)需要獨(dú)立分析場(chǎng)景掃描的結(jié)果嗎？如果不需要，可以選擇那些具有強(qiáng)大報(bào)告分析能力的BAS工具。此外，如果企業(yè)需要關(guān)于如何修復(fù)或補(bǔ)救問題的建議，則建議選擇具有漏洞管理服務(wù)資質(zhì)的供應(yīng)商。通常，企業(yè)還需要了解一些關(guān)于網(wǎng)絡(luò)漏洞的基本信息，就需要關(guān)注方案中的威脅情報(bào)能力。

4是否具備持續(xù)更新能力

最后，企業(yè)需要充分考慮對(duì)網(wǎng)絡(luò)安全故障或持續(xù)攻擊的擔(dān)憂。例如，企業(yè)應(yīng)該選型一個(gè)能夠提供與新場(chǎng)景相關(guān)的持續(xù)更新的BAS工具，這就需要在選型時(shí)明確提出要求，并對(duì)供應(yīng)商的方案進(jìn)行實(shí)際試用。

較熱門的BAS工具推薦

通過在網(wǎng)絡(luò)中部署B(yǎng)AS工具，用戶可以為其數(shù)字化業(yè)務(wù)發(fā)展增加更多的安全性。以下收集整理了目前較流行的6款BAS工具，并對(duì)其應(yīng)用特點(diǎn)進(jìn)行了簡(jiǎn)要分析。

1AttackIQ

圖片

AttackIQ是一個(gè)較先進(jìn)的BAS平臺(tái)，提供實(shí)時(shí)可見性，幫助企業(yè)發(fā)現(xiàn)安全漏洞，識(shí)別錯(cuò)誤配置，并優(yōu)先考慮補(bǔ)救策略。用戶所需的只是部署測(cè)試點(diǎn)代理并運(yùn)行場(chǎng)景，就可以獲得關(guān)于系統(tǒng)如何響應(yīng)新出現(xiàn)的威脅的實(shí)時(shí)洞察。

關(guān)鍵特性

? 易于使用的界面；

? 支持MITRE ATT&CK框架；

? 執(zhí)行威脅驅(qū)動(dòng)的防御行動(dòng)；

? 安全態(tài)勢(shì)的實(shí)時(shí)可見性；

? 驗(yàn)證安全控制措施；

? 自動(dòng)化安全驗(yàn)證；

? 可以無縫集成；

? 快速識(shí)別錯(cuò)誤配置和優(yōu)先級(jí)補(bǔ)救；

? 支持Windows、Linux、OSX平臺(tái)；

? 與云或本地環(huán)境兼容；

? 易于擴(kuò)展；

? 根據(jù)新出現(xiàn)的威脅不斷生成新的場(chǎng)景；

? 內(nèi)置場(chǎng)景清單；

? 自動(dòng)報(bào)告功能。

特點(diǎn)分析

AttackIQ具有較全面的功能，如實(shí)時(shí)可見性，連續(xù)測(cè)試和對(duì)MITRE ATT&CK框架的支持。該平臺(tái)快速識(shí)別錯(cuò)誤配置和優(yōu)先級(jí)修復(fù)的能力，使其成為增強(qiáng)安全態(tài)勢(shì)的強(qiáng)大工具。大多數(shù)公司都信任AttackIQ BAS工具，因?yàn)樗兄跍y(cè)試安全系統(tǒng)的有效性。它有一個(gè)易于使用的界面，允許管理員在短時(shí)間內(nèi)連續(xù)運(yùn)行多個(gè)測(cè)試。

傳送門：https://attackiq.com/

2Cymulate

Cymulate是一個(gè)較流行的BAS平臺(tái)，可以自動(dòng)識(shí)別安全漏洞，并通過暴露于真實(shí)的攻擊來測(cè)試其強(qiáng)度。它還在預(yù)定的時(shí)間間隔內(nèi)模擬攻擊，并生成有關(guān)分析和建議的深刻報(bào)告。

關(guān)鍵特性

? 端到端網(wǎng)絡(luò)風(fēng)險(xiǎn)管理；

? 安全態(tài)勢(shì)可視性；

? 提供可操作的見解；

? 評(píng)估管理；

? 安全審計(jì)；

? 漏洞掃描；

? 支持第三方集成；

? 提供持續(xù)的測(cè)試和建議；

? 提供即時(shí)威脅警報(bào)；

? 全自動(dòng)和可定制的BAS工具；

? 模擬惡意入站流量；

? 運(yùn)行定制的網(wǎng)絡(luò)釣魚活動(dòng)；

特點(diǎn)分析

Cymulate具有廣泛的功能，不僅可以識(shí)別安全漏洞，還可以提供可操作的見解。它在后臺(tái)運(yùn)行時(shí)覆蓋整個(gè)殺傷鏈的能力確保了組織業(yè)務(wù)操作不會(huì)中斷，使其成為任何組織的寶貴資產(chǎn)。同時(shí)，它是一種基于SaaS的解決方案，可以優(yōu)化安全態(tài)勢(shì)，并努力保護(hù)業(yè)務(wù)關(guān)鍵型資產(chǎn)始終免受威脅或攻擊。

傳送門：

https://cymulate.com/

3SafeBreach

圖片

SafeBreach是目前市場(chǎng)最早投入實(shí)際應(yīng)用的BAS工具之一。該工具可以針對(duì)來自組織內(nèi)部或外部的最新攻擊運(yùn)行場(chǎng)景。此外，它還有助于識(shí)別安全漏洞，并根據(jù)安全問題對(duì)它們進(jìn)行優(yōu)先級(jí)排序。

關(guān)鍵特性

? 能夠模擬15000 +攻擊場(chǎng)景；

? 易于安裝；

? 即時(shí)生成質(zhì)量報(bào)告；

? 強(qiáng)大的客戶基礎(chǔ)；

? 兼容所有云和端點(diǎn)網(wǎng)絡(luò)；

? 提供持續(xù)更新；

? 識(shí)別未發(fā)現(xiàn)的安全漏洞；

? 對(duì)威脅和漏洞進(jìn)行優(yōu)先排序；

? 易于部署和集成；

? 安全控制的持續(xù)驗(yàn)證；

特點(diǎn)分析

SafeBreach在全球BAS市場(chǎng)上已經(jīng)擁有豐富的經(jīng)驗(yàn)和廣泛的客戶群。該工具能夠模擬超過15,000種不同類型的攻擊，并提供持續(xù)更新，使其成為識(shí)別和優(yōu)先處理安全漏洞的可靠選擇。

傳送門：https://www.safebreach.com/

4CyCognito

圖片

CyCognito是一款較先進(jìn)的云化BAS工具，早在2017年就已經(jīng)推出。引入CyCognito的主要目的是幫助企業(yè)監(jiān)控和檢測(cè)高級(jí)威脅，同時(shí)，能夠有效消除和修復(fù)跨企業(yè)資產(chǎn)的關(guān)鍵安全風(fēng)險(xiǎn)。

關(guān)鍵特性

? 提供持續(xù)的攻擊面可見性；

? 攻擊面管理；

? 與云、本地和其他環(huán)境兼容；

? 映射易受攻擊的資產(chǎn)；

? 工作流自動(dòng)化功能；

? 漏洞管理和掃描；

? 高級(jí)分析工具；

? 安全框架和遵從性；

? 修復(fù)速度更快；

特點(diǎn)分析

CyCognito在攻擊面可見性和快速風(fēng)險(xiǎn)檢測(cè)和修復(fù)方面具有強(qiáng)大的功能。其先進(jìn)的分析工具和工作流自動(dòng)化使其成為漏洞管理的全面解決方案。在CyCognito的幫助下，管理員可以自動(dòng)化攻擊性網(wǎng)絡(luò)安全操作，監(jiān)控攻擊者產(chǎn)生的所有風(fēng)險(xiǎn)，并專注于如何修復(fù)安全漏洞。

傳送門：https://www.cycognito.com/

5DXC Technology

DXC Technology引入了多種內(nèi)置的安全測(cè)試功能，可以有效幫助企業(yè)降低安全風(fēng)險(xiǎn)并幫領(lǐng)先于攻擊者。它還可以提供威脅情報(bào)、安全咨詢、監(jiān)控和事件響應(yīng)等服務(wù)功能。

關(guān)鍵特性

? 管理事件響應(yīng)和威脅；

? OT和IoT安全；

? 威脅情報(bào)；

? 自動(dòng)化安全防御服務(wù)；

? 托管SIEM；

? 使用零信任策略保護(hù)數(shù)據(jù)；

? 對(duì)網(wǎng)絡(luò)的全面可見性；

? 高級(jí)威脅防護(hù)；

? 多因素身份驗(yàn)證；

? 特權(quán)帳戶管理；

特點(diǎn)分析

DXC Technology提供了一種全面的網(wǎng)絡(luò)安全方法，適用于希望有效保護(hù)其數(shù)字資產(chǎn)的組織。它還使用其網(wǎng)絡(luò)防御服務(wù)提供對(duì)網(wǎng)絡(luò)的全面可見性，并保護(hù)關(guān)鍵資產(chǎn)免受破壞。

傳送門：https://dxc.com/us/en

6Infection Monkey

圖片

Infection Monkey是一款免費(fèi)的開源BAS工具，主要用于測(cè)試企業(yè)的網(wǎng)絡(luò)系統(tǒng)對(duì)零信任框架的依從性。它是一個(gè)易于部署、安全且穩(wěn)定的工具，具有直觀的用戶交互界面。Infection Monkey的主要設(shè)計(jì)目標(biāo)就是幫助組織發(fā)現(xiàn)和繪制攻擊者的行動(dòng)。

關(guān)鍵特性

? 免費(fèi)開源軟件；

? 直觀的用戶界面；

? 與本地、容器和基于云的環(huán)境兼容；

? 允許對(duì)網(wǎng)絡(luò)安全進(jìn)行連續(xù)測(cè)試；

? 在GPL v3許可下開發(fā)；

? 可視化和映射攻擊者的移動(dòng)；

? 可擴(kuò)展且易于部署；

? 在不影響網(wǎng)絡(luò)運(yùn)行的情況下自動(dòng)進(jìn)行攻擊模擬；

? 生成審計(jì)報(bào)告；

? 支持在Debian、Windows和Docker上安裝；

? 低CPU和內(nèi)存占用；

特點(diǎn)分析

作為一款免費(fèi)的開源工具，Infection Monkey易于部署、安全且穩(wěn)定的特性使其成為希望發(fā)現(xiàn)和映射其網(wǎng)絡(luò)中潛在攻擊者活動(dòng)的組織的絕佳選擇。它可以幫助組織發(fā)現(xiàn)內(nèi)部部署和基于云的環(huán)境中的弱點(diǎn)。此外，它還支持廣泛的MITRE ATT&CK測(cè)試技術(shù)。

傳送門：https://www.guardicore.com/infectionmonkey/

原文鏈接：

https://www.netadmintools.com/best-bas-tools/

https://www.scarlettcybersecurity.com/breach-attack-simulations