入侵與攻擊模擬工具的真相
責(zé)編:gltian |2019-08-07 14:42:032017 年,Gartner《面向威脅技術(shù)的成熟度曲線(xiàn)》(Hype Cycle for Threat-Facing Technologies) 中首次出現(xiàn)入侵與攻擊模擬 (BAS) 工具這個(gè)分類(lèi),并將之歸到了新興技術(shù)行列。正如 Gartner 描述的,此類(lèi)工具 “可供安全團(tuán)隊(duì)以一致的方式持續(xù)測(cè)試安全控制措施,貫穿從預(yù)防到檢測(cè)(乃至響應(yīng))的整個(gè)過(guò)程”。自 Gartner 將 BAS 帶入大眾視野之后,此類(lèi)工具所獲關(guān)注度一飛沖天。但只要在安全行業(yè)待過(guò)幾年就知道,熱炒往往會(huì)搞混人們對(duì)所涉技術(shù)的功能、安全角色及作用的理解。作為安全專(zhuān)業(yè)人員,必須驅(qū)散這些誤解,看清事實(shí)真相,挖掘這些工具的真正價(jià)值。
BAS 歸屬檢測(cè)功能進(jìn)化的一部分。事實(shí)!
認(rèn)識(shí)到數(shù)據(jù)泄露規(guī)模與速度雙增長(zhǎng),我們正從重在預(yù)防轉(zhuǎn)變到將檢測(cè)、響應(yīng)與自動(dòng)化都納入關(guān)注重點(diǎn)。終端檢測(cè)與響應(yīng) (EDR) 等工具的激增、MITRE 的威脅建模模型 ATT&CK 框架的流行,以及入侵與攻擊模擬工具的興起,都是這股進(jìn)化趨勢(shì)的有力體現(xiàn)。通過(guò)引入自動(dòng)化,BAS 工具可使安全人員更加快速地執(zhí)行模擬,持續(xù)測(cè)試控制點(diǎn)有效性,在動(dòng)態(tài)威脅態(tài)勢(shì)下更一致地保證安全狀態(tài)。
BAS 工具是下一代漏洞掃描與管理解決方案。你想多了!
BAS 工具是增強(qiáng)漏洞管理項(xiàng)目的有效方式,但并不能替代漏洞掃描或滲透測(cè)試解決方案。這些工具不直接審查信息資產(chǎn),也不試圖找出資產(chǎn)中的漏洞。BAS 工具采取的是基于活動(dòng)的全面視角,衡量的是整體安全有效性。它們持續(xù)自動(dòng)化同步執(zhí)行端到端攻擊場(chǎng)景模擬,讓用戶(hù)可以更快找出網(wǎng)絡(luò)與系統(tǒng)中存在的安全漏洞,搶在攻擊者運(yùn)用攻擊生命周期中的各種戰(zhàn)術(shù)、技術(shù)與流程 (TTP) 突破漏洞之前即時(shí)加以修復(fù)。
最終,BAS 會(huì)讓我們擁有“萬(wàn)能”技術(shù)解決方案。你想多了!
每逢新技術(shù)類(lèi)別出現(xiàn),“萬(wàn)能解決方案” 癥狀就會(huì)冒頭。但并沒(méi)有哪種技術(shù)能大包大攬解決所有網(wǎng)絡(luò)安全問(wèn)題。威脅態(tài)勢(shì)太過(guò)復(fù)雜,且是動(dòng)態(tài)變化的。攻擊界面總在擴(kuò)展和改變。相應(yīng)地,安全技術(shù)和策略也必須持續(xù)進(jìn)化。BAS 工具是向前邁進(jìn)的重要一步,可作為手動(dòng)攻擊模擬的補(bǔ)充和增強(qiáng),但這些工具也僅僅是安全技術(shù)棧中的一環(huán),并非 “設(shè)置了就能拋諸腦后” 的。根據(jù)自身環(huán)境配置和調(diào)適攻擊模擬的工作仍需人工操作,根據(jù)公司威脅態(tài)勢(shì)識(shí)別首要用例,以及解讀攻擊模擬結(jié)果的工作也需由人類(lèi)分析師完成。
BAS 工具有利紅隊(duì)/藍(lán)隊(duì)和紫隊(duì)演練。事實(shí)!
入侵與攻擊模擬操作正是紅隊(duì)/藍(lán)隊(duì)和紫隊(duì)演練的實(shí)際內(nèi)容。紅隊(duì)/藍(lán)隊(duì)模式主打在為期數(shù)周或數(shù)月的演練中實(shí)施攻防對(duì)抗,演練結(jié)束后總結(jié)防御漏洞并進(jìn)行修復(fù)。紫隊(duì)模式則更注重協(xié)作與迭代,在演練過(guò)程中即改善公司安全態(tài)勢(shì),即時(shí)捕獲持續(xù)價(jià)值。無(wú)論采取哪種模式,BAS 工具都能通過(guò)自動(dòng)化擴(kuò)展演練,提供比手動(dòng)方法更快的模擬能力,單位時(shí)間內(nèi)可執(zhí)行更多模擬演練。但紅隊(duì)與紫隊(duì)在使用 BAS 工具時(shí)應(yīng)保持警惕,因?yàn)槿绻麊渭円蕾?lài)這些工具,有可能會(huì)得到一種虛假的安全感。模擬都是現(xiàn)成既定的場(chǎng)景,并沒(méi)有考慮到每家公司的細(xì)微差異。必須明智挑選要執(zhí)行的模擬場(chǎng)景。而這就要求相關(guān)人員能夠根據(jù)公司及行業(yè)所面臨的威脅、公司需保護(hù)的特定資產(chǎn),以及確保檢測(cè)與防范按既定方式運(yùn)行的專(zhuān)業(yè)知識(shí),來(lái)豐富或調(diào)整模擬。
BAS 工具提供有益管理的量化指標(biāo)。事實(shí)!
公司企業(yè)在資產(chǎn)保護(hù)上投資巨大。國(guó)際數(shù)據(jù)公司 (IDC) 預(yù)測(cè),到 2022 年,全球安全開(kāi)支將超 1,330 億美元。但這些技術(shù)和工具真的按照設(shè)想運(yùn)轉(zhuǎn)了嗎?BAS 工具能夠高效一致地衡量現(xiàn)有安全檢測(cè)功能及運(yùn)營(yíng)的有效性。模擬結(jié)果可幫助指導(dǎo)產(chǎn)品投資及配置決策以堵上安全漏洞,還有助于補(bǔ)全企業(yè)領(lǐng)導(dǎo)的網(wǎng)絡(luò)安全知識(shí)空缺。討論風(fēng)險(xiǎn)管理,回答董事會(huì)和高管相關(guān)問(wèn)題時(shí),便可用上 BAS 工具的模擬結(jié)果。比如:攻擊者能悄悄繞過(guò)我們的防御嗎?我們適用的風(fēng)險(xiǎn)是什么?這些風(fēng)險(xiǎn)對(duì)我們能造成什么樣的影響?這可以使安全人員處于影響短期投資決策、參與長(zhǎng)期安全規(guī)劃的位置上,還能從商業(yè)角度報(bào)告安全運(yùn)營(yíng)上的改善。
BAS 工具是防御武器庫(kù)的重要補(bǔ)強(qiáng)。但與其他安全投資類(lèi)似,只有了解該技術(shù)的優(yōu)勢(shì)與短板,才能充分體現(xiàn)其價(jià)值。相比傳統(tǒng)方法,BAS 工具有助于更快更省地維持基本安全保障。而且,若與恰當(dāng)?shù)膶?zhuān)業(yè)技能結(jié)合,BAS 工具可助你在公司整體成功中起到戰(zhàn)略性作用。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類(lèi)別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶(hù)賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!