2017年，Gartner在《面向威脅技術的成熟度曲線》報告中首次提出了BAS（Breach and Attack Simulation）,，并將其納入新興技術行列,。2021年，Gartner發(fā)布《2021安全運營技術成熟度曲線》報告,，明確BAS是“頂級安全和風險管理趨勢”,。2022年，Gartner最新報告《2022中國安全成熟度曲線》再次重點闡述BAS,，將其歸到快速上升階段的萌芽期技術之一,。

　　BAS是什么？

　　根據Gartner的定義,，BAS通過自動化模擬外部和內部,、橫向移動和數據泄露等威脅向量，使企業(yè)更好地了解其安全薄弱點,。BAS是對紅隊或滲透測試的補充,，但并不能完全取代兩者。BAS技術通過部署軟件代理,、虛擬機,、云平臺和其他手段來運行模擬威脅,，進而提供模擬攻擊組合的能力來驗證企業(yè)的安全防御體系的有效性。

　　BAS譯為入侵與攻擊模擬,，顧名思義,，這是一種以攻促防、驗證安全,、提升安全的運營手段,。

　　首先,，這種思維與傳統安全防御的邏輯有明顯區(qū)別,，傳統安全一般是以經驗模型為指導，企業(yè)防護建設基本都依賴于安全設備進行防守,，對安全運營缺乏體系性的評估手段,。BAS則是從攻擊者的角度出發(fā)，通過持續(xù)進行的威脅和攻擊模擬,，讓企業(yè)從實戰(zhàn)中找出網絡與系統中存在的疏漏和失效點,，從而對現有安全設備、人員安全意識,、安全防御體系的有效性等進行量化評估,。

　　同時，這也很容易讓人聯想到大家已經耳熟能詳的配置核查,、漏洞掃描或滲透測試,，BAS是否是新瓶裝舊酒？一一來看：

　　配置核查

　　一種合規(guī)性核查,，遵從某種預設的政策或標準,，檢查應有的安全措施是否齊全；而BAS更側重關注這些措施是否真的在發(fā)揮應有的作用,，所謂從安全合規(guī)到安全有效性驗證的跨越,。

　　漏洞掃描

　　漏洞利用只是攻擊鏈路中的一個環(huán)節(jié)，發(fā)現漏洞還遠不到展現網絡威脅態(tài)勢全貌的階段,；BAS更關注全局的評估,，包括整體的脆弱性、漏洞利用的熱度和難易,、漏洞所在資產的價值等綜合全面的風險因素,。

　　滲透測試

　　單點攻擊路徑的人工驗證，是縱向的從外部進入到內部的過程,；BAS模擬的是整個攻擊面的測試,，還包括暴露面的探測、內部的橫向移動,，安全策略的驗證等,，是一個更加自動,、持續(xù)、智能的過程,。

　　BAS用在哪,？

　　因此，BAS大幅提升了以往的審計,、測試,、管理類安全手段的水平，以更加常態(tài)化,、實戰(zhàn)化,、自動化、全局化的視野來評估度量網絡安全體系的有效性,，可以說是安全建設之后的一種安全運營手段,。在數字化轉型持續(xù)推進的當下，暴露面擴大,、未知威脅激增,，可以預見BAS將迎來廣闊的用武之地，對于CSO而言是提升團隊實戰(zhàn)能力,、為決策層呈現組織安全態(tài)勢的有效解決方案,。結合目前及目之所及的未來安全形勢，BAS的應用場景正逐漸明晰：

　　攻防演練

　　大型攻防演練活動成為新常態(tài),，企業(yè)需要保持一個持續(xù)的,、且處于較高水準的安全狀態(tài)。引入BAS技術可以確定可能的威脅和攻擊路徑,，及時收斂暴露面,，驗證部署的安全設備是否在發(fā)揮作用，優(yōu)化安全策略,，以進行主動防御,。

　　安全驗證

　　安全作為一種隱性投資，很難量化其價值,，不僅是決策層和業(yè)務團隊看不清安全投入的必要性,，安全團隊自身也需要明確安全部署是否合理且有效。作為業(yè)務的保障,，安全配置經常跟隨業(yè)務做出調整,，就此埋下的錯誤和缺陷是一大隱患。BAS提供的持續(xù)的有效性驗證是讓安全價值可度量,、安全效果可視化的良好方法,。

　　安全評估

　　新興技術的應用、IT架構的迭代、特定業(yè)務環(huán)境的搭建等是引入未知風險的敞口,，需要對其進行合規(guī)檢查,、安全評估，作為日常審計,、漏掃,、滲透測試等傳統方案的補充手段，BAS從實戰(zhàn)經驗角度基于事實和數據推測實網對抗的攻防可能性與對抗有效性,。

　　BAS落地了嗎,？

　　據安全419觀察，雖仍處于技術的早期成熟階段,，國內關注并研究BAS相關技術的安全廠商正勢如破竹,，為BAS的落地應用提供不同的解決方案。

　　● 華云安靈刃·智能滲透與攻擊模擬系統Ai·Bot,，以攻擊視角通過對抗性手段發(fā)現企業(yè)真實攻擊面,，通過模擬攻擊者對目標網絡環(huán)境進行安全測試，找到系統中可能存在的弱點并通過智能分析引擎將攻擊鏈路直觀呈現,。同時將情報和圖譜模型能力運用在BAS和CART技術上，實現用人工智能驅動的模擬迭代攻擊測試,，實現對敏感數據,、憑證信息、源代碼,、供應鏈等外源弱點與內部戰(zhàn)法模型的結合,，以業(yè)務角度進行攻擊影響進行評價。

　　● 知其安離朱安全驗證平臺,，通過自動化的閉環(huán)手段,，最新、最全,、最真實的驗證用例和場景,，持續(xù)對企業(yè)縱深防御體系的有效性進行實時、全面的驗證,，為企業(yè)面對真實攻擊的防御檢測能力進行度量,，幫助企業(yè)及時了解和掌握當前安全防御的有效性和防護水平，第一時間發(fā)現防護檢測能力缺失點,，快速調整規(guī)則策略和安全部署,，全面提升安全運營能力。

　　● 墨云科技Vackbot智能自動化攻擊模擬平臺,，基于人工智能技術,，通過“網絡攻防知識＋數據模型算法”雙賦能驅動，實現“黑客視角”入侵與攻擊模擬的網絡安全檢測與驗證平臺，可以自動持續(xù)地進行實戰(zhàn)化網絡攻擊模擬,，通過攻擊殺傷鏈構建攻擊路徑并量化風險,，幫助客戶高效定位潛在的安全隱患與脆弱性，準確驗證安全縱深防御體系的有效性,。

　　從技術實踐和經驗轉化角度觀察,，聚焦于攻擊面管理、安全驗證,、新一代安全運營等領域,，以及長期專注在攻防對抗、脆弱性評估,、風險管理等方面的安全廠商在實踐BAS技術上將更具有優(yōu)勢,，我們也將持續(xù)觀察行業(yè)中更多優(yōu)秀的BAS解決方案，為企業(yè)提升安全運營效果提供有力參考,。

更多信息可以來這里獲取==>>電子技術應用-AET<<