如今,网络安全已成为企业数字化发展中的一个重要议题。然而,尽管企业实施了各种安全控制措施和攻击防护程序,但许多组织仍然发现他们的网络安全战略并不够全面,仍然会面临较大的网络攻击风险。
要全面了解组织的整体安全性是一项艰巨的任务,因为很多传统的测试方法都存在局限性。在此背景下,组织开始转向一种新的工具——入侵和攻击模拟(BAS)。BAS是一种功能强大的工具,主要用于测试IT安全工作、持续模拟攻击和运行场景。大量的应用实践表明,BAS能够为企业是否足以抵御日益复杂的攻击提供有效见解。
实施BAS的必要性
目前,BAS已成为一种较流行的新一代网络安全技术,企业组织不仅能够通过BAS对网络进行持续安全测试发现薄弱环节或安全漏洞,还可以利用这些工具来计算总体风险评分,确定可操作补救见解的优先级,并分析现有安全控制措施的性能。具体来说,BAS工具可以为组织的数字化发展提供如下好处:
• 使企业能够了解攻击事件的各个阶段;
• 持续模拟网络攻击;
• 衡量已部署的安全控制措施;
• 改善网络安全态势;
• 增加网络可见性;
• 提供对攻击者的自动化和持续监控;
• 在横向移动的端点上模拟恶意软件攻击;
• 识别漏洞并确定修复步骤的优先级;
• 更快地规划安全投资;
• 通过合并红蓝团队技术提供持续的覆盖;
• 风险管理;
• 提供对攻击路径的感知;
• 发现导致关键资产暴露的故障。
实施BAS的关键步骤
在实际应用中,有多种不同的方法来应用和实施BAS活动,这会因组织类型、规模、业务范围和相关的网络安全要求而异。企业在实际开展BAS应用时,可以参考以下的实施步骤建议:
1 识别网络中的脆弱区域
在进行BAS活动之前,组织应该提前确定网络中存在较大风险隐患的脆弱区域。这可以通过不同的方式完成,包括漏洞扫描、人工渗透测试和安全性审计。这主要目的是了解潜在的攻击面,并确定任何弱点和漏洞。例如,对网络进行漏洞扫描,以识别任何可能易受攻击的过时软件或未打补丁的系统。一旦确定了网络中的脆弱区域,就可将其作为BAS测试工作的起点。在此过程中,组织可以优先识别出哪些领域值得重点关注。
2 创建基线安全模型
当企业发现并确定了脆弱区域,接下来要做的就是建立基线安全模型。这个特定的模型将表示公司安全控制的当前状态。它可以为后续的安全性衡量改进工作提供必要的参考。
例如,基线安全模型应该包括公司防火墙、入侵检测系统和其他安全控制的当前配置。当企业开始执行BAS活动之后,它可以作为度量其安全控制有效性的起点。
3 选择合适的BAS工具
要持续性地开展BAS测试工作并不容易,企业应该选择合适的BAS工具。市场上有各种各样的BAS工具,每种工具都具有不同的功能。例如,如果组织的主要关注点是测试其网络安全控制,那么最好的选择是使用基于网络的BAS工具。而在其他的需求背景下,他们则可以选择另外的BAS工具,例如基于端点的、基于云的,以及基于他们的关注点和需求的其他工具。
4 进行模拟攻击测试
当以上的工作完成后,企业接下来要做的就是进行BAS练习。这意味着要根据公司的关注点和需求进行一系列测试。
这一系列测试可以包括在网络、端点、web应用程序、电子邮件系统、无线网络或云基础设施上进行测试。例如,如果公司关心的是基于电子邮件的安全控制。他们将进行模拟网络钓鱼攻击,以测试电子邮件安全控制的有效性。它包括向不同的员工发送虚假的网络钓鱼电子邮件,并测量有多少人受到攻击。
5 分析结果并改进
在成功的BAS应用中,企业还必须及时分析结果并改进公司的安全控制。组织需要审查由BAS工具提供的每一份报告和分析,并找到需要改进的地方。例如,回到网络钓鱼的例子,一旦公司采取并衡量了结果,它就可以培训这些员工,并向他们提供更多关于网络安全协议的信息,甚至可以让他们参加研讨会。组织可能还需要实现额外的电子邮件安全控制,例如双因素身份验证或高级垃圾邮件过滤。
BAS实施中的挑战
BAS是保护现代企业组织免受网络攻击的有效方法之一,但在其实践过程中,也会存在诸多的应用挑战。
1 组织的专业知识和能力有限
这是组织在实施BAS方案时不得不面对的一大挑战。许多组织都缺乏实现BAS的知识和专业技能。例如,员工有限的小型企业可能缺乏必要的技能来进行任何BAS练习;另一方面,即便是对大公司,可能很难找到具有所需专业知识的合格人员来运行不同的BAS测试;
2 改变传统工作流程
这是组织在实施BAS时可能面临的另一个挑战。公司中的安全团队或IT部门可能会抵制实施BAS,因为他们担心会破坏他们的工作流程,缺乏对其应用价值的理解,或者对未知的恐惧。此外,业务部门员工也可能不愿意参与BAS测试技术,担心影响他们的日常生产活动,或者可能被视为监控其活动的一种方式;
3 安全预算不足
对于资源有限的组织来说,实现BAS技术可能是昂贵的。执行测试运行所需的BAS工具、许可费用和人员成本可能非常高。小型企业需要尽可能申请并分配必要的资金来购买和维护BAS工具;另一方面,大型公司和组织也需要权衡BAS与其他网络安全投资的投资性价比。
4 难以与现有安全基础设施集成
将BAS与现有的安全基础设施集成可能也是一大挑战。组织将需要确保他们的BAS工具可以轻松地与现有的安全工具集成,包括防火墙、入侵检测系统、安全信息和事件管理(SIEM)系统。
BAS工具的评估选型
在诸多市场因素的共同驱动下,BAS技术的应用正在迅速兴起,而行业中目前也不乏BAS服务提供商。企业需要基于自己的整体安全目标和管理需求来选择合适的BAS工具/方案,以下评估因素可以帮助企业选型BAS供应商,并加快决策。
1 了解组织当前的实际专业水平
在企业开始寻找合适的BAS工具之前,首先必须分析当前现有的安全运营水平和先进工具应用能力。如果企业有一个经验丰富的团队可以处理这些工具,建议选择更为专业且功能强大的BAS工具。而如果企业的IT团队缺乏经验,则建议寻找易于使用的服务化BAS方案。
2 了解企业网络应用场景的复杂性
具有简单布局的BAS工具可以按照企业的期望交付扫描结果。然而,有一些具有显著复杂性的BAS工具可能会使企业网络暴露于不可控的风险之中。因此,企业在寻找BAS工具时,请确保衡量其针对网络场景的复杂性级别。
3 获得如何解决问题的建议
企业的安全运营团队需要独立分析场景扫描的结果吗?如果不需要,可以选择那些具有强大报告分析能力的BAS工具。此外,如果企业需要关于如何修复或补救问题的建议,则建议选择具有漏洞管理服务资质的供应商。通常,企业还需要了解一些关于网络漏洞的基本信息,就需要关注方案中的威胁情报能力。
4 是否具备持续更新能力
最后,企业需要充分考虑对网络安全故障或持续攻击的担忧。例如,企业应该选型一个能够提供与新场景相关的持续更新的BAS工具,这就需要在选型时明确提出要求,并对供应商的方案进行实际试用。
较热门的BAS工具推荐
通过在网络中部署BAS工具,用户可以为其数字化业务发展增加更多的安全性。以下收集整理了目前较流行的6款BAS工具,并对其应用特点进行了简要分析。
1 AttackIQ
AttackIQ是一个较先进的BAS平台,提供实时可见性,帮助企业发现安全漏洞,识别错误配置,并优先考虑补救策略。用户所需的只是部署测试点代理并运行场景,就可以获得关于系统如何响应新出现的威胁的实时洞察。
关键特性
• 易于使用的界面;
• 支持MITRE ATT&CK框架;
• 执行威胁驱动的防御行动;
• 安全态势的实时可见性;
• 验证安全控制措施;
• 自动化安全验证;
• 可以无缝集成;
• 快速识别错误配置和优先级补救;
• 支持Windows、Linux、OSX平台;
• 与云或本地环境兼容;
• 易于扩展;
• 根据新出现的威胁不断生成新的场景;
• 内置场景清单;
• 自动报告功能。
特点分析
AttackIQ具有较全面的功能,如实时可见性,连续测试和对MITRE ATT&CK框架的支持。该平台快速识别错误配置和优先级修复的能力,使其成为增强安全态势的强大工具。大多数公司都信任AttackIQ BAS工具,因为它有助于测试安全系统的有效性。它有一个易于使用的界面,允许管理员在短时间内连续运行多个测试。
传送门:
2 Cymulate
Cymulate是一个较流行的BAS平台,可以自动识别安全漏洞,并通过暴露于真实的攻击来测试其强度。它还在预定的时间间隔内模拟攻击,并生成有关分析和建议的深刻报告。
关键特性
• 端到端网络风险管理;
• 安全态势可视性;
• 提供可操作的见解;
• 评估管理;
• 安全审计;
• 漏洞扫描;
• 支持第三方集成;
• 提供持续的测试和建议;
• 提供即时威胁警报;
• 全自动和可定制的BAS工具;
• 模拟恶意入站流量;
• 运行定制的网络钓鱼活动;
特点分析
Cymulate具有广泛的功能,不仅可以识别安全漏洞,还可以提供可操作的见解。它在后台运行时覆盖整个杀伤链的能力确保了组织业务操作不会中断,使其成为任何组织的宝贵资产。同时,它是一种基于SaaS的解决方案,可以优化安全态势,并努力保护业务关键型资产始终免受威胁或攻击。
传送门:
3 SafeBreach
SafeBreach是目前市场最早投入实际应用的BAS工具之一。该工具可以针对来自组织内部或外部的最新攻击运行场景。此外,它还有助于识别安全漏洞,并根据安全问题对它们进行优先级排序。
关键特性
• 能够模拟15000 +攻击场景;
• 易于安装;
• 即时生成质量报告;
• 强大的客户基础;
• 兼容所有云和端点网络;
• 提供持续更新;
• 识别未发现的安全漏洞;
• 对威胁和漏洞进行优先排序;
• 易于部署和集成;
• 安全控制的持续验证;
特点分析
SafeBreach在全球BAS市场上已经拥有丰富的经验和广泛的客户群。该工具能够模拟超过15,000种不同类型的攻击,并提供持续更新,使其成为识别和优先处理安全漏洞的可靠选择。
传送门:
4 CyCognito
CyCognito是一款较先进的云化BAS工具,早在2017年就已经推出。引入CyCognito的主要目的是帮助企业监控和检测高级威胁,同时,能够有效消除和修复跨企业资产的关键安全风险。
关键特性
• 提供持续的攻击面可见性;
• 攻击面管理;
• 与云、本地和其他环境兼容;
• 映射易受攻击的资产;
• 工作流自动化功能;
• 漏洞管理和扫描;
• 高级分析工具;
• 安全框架和遵从性;
• 修复速度更快;
特点分析
CyCognito在攻击面可见性和快速风险检测和修复方面具有强大的功能。其先进的分析工具和工作流自动化使其成为漏洞管理的全面解决方案。在CyCognito的帮助下,管理员可以自动化攻击性网络安全操作,监控攻击者产生的所有风险,并专注于如何修复安全漏洞。
传送门:
5 DXC Technology
DXC Technology引入了多种内置的安全测试功能,可以有效帮助企业降低安全风险并帮领先于攻击者。它还可以提供威胁情报、安全咨询、监控和事件响应等服务功能。
关键特性
• 管理事件响应和威胁;
• OT和IoT安全;
• 威胁情报;
• 自动化安全防御服务;
• 托管SIEM;
• 使用零信任策略保护数据;
• 对网络的全面可见性;
• 高级威胁防护;
• 多因素身份验证;
• 特权帐户管理;
特点分析
DXC Technology提供了一种全面的网络安全方法,适用于希望有效保护其数字资产的组织。它还使用其网络防御服务提供对网络的全面可见性,并保护关键资产免受破坏。
传送门:
6 Infection Monkey
Infection Monkey是一款免费的开源BAS工具,主要用于测试企业的网络系统对零信任框架的依从性。它是一个易于部署、安全且稳定的工具,具有直观的用户交互界面。Infection Monkey的主要设计目标就是帮助组织发现和绘制攻击者的行动。
关键特性
• 免费开源软件;
• 直观的用户界面;
• 与本地、容器和基于云的环境兼容;
• 允许对网络安全进行连续测试;
• 在GPL v3许可下开发;
• 可视化和映射攻击者的移动;
• 可扩展且易于部署;
• 在不影响网络运行的情况下自动进行攻击模拟;
• 生成审计报告;
• 支持在Debian、Windows和Docker上安装;
• 低CPU和内存占用;
特点分析
作为一款免费的开源工具,Infection Monkey易于部署、安全且稳定的特性使其成为希望发现和映射其网络中潜在攻击者活动的组织的绝佳选择。它可以帮助组织发现内部部署和基于云的环境中的弱点。此外,它还支持广泛的MITRE ATT&CK测试技术。
传送门:
https://www.guardicore.com/infectionmonkey/
原文链接:
https://www.netadmintools.com/best-bas-tools/
https://www.scarlettcybersecurity.com/breach-attack-simulations