入侵和攻擊模擬(BAS)技術應用實踐及熱門產品分析
責編:gltian |2024-02-29 17:11:52如今,網絡安全已成為企業數字化發展中的一個重要議題。然而,盡管企業實施了各種安全控制措施和攻擊防護程序,但許多組織仍然發現他們的網絡安全戰略并不夠全面,仍然會面臨較大的網絡攻擊風險。
要全面了解組織的整體安全性是一項艱巨的任務,因為很多傳統的測試方法都存在局限性。在此背景下,組織開始轉向一種新的工具——入侵和攻擊模擬(BAS)。BAS是一種功能強大的工具,主要用于測試IT安全工作、持續模擬攻擊和運行場景。大量的應用實踐表明,BAS能夠為企業是否足以抵御日益復雜的攻擊提供有效見解。
實施BAS的必要性
目前,BAS已成為一種較流行的新一代網絡安全技術,企業組織不僅能夠通過BAS對網絡進行持續安全測試發現薄弱環節或安全漏洞,還可以利用這些工具來計算總體風險評分,確定可操作補救見解的優先級,并分析現有安全控制措施的性能。具體來說,BAS工具可以為組織的數字化發展提供如下好處:
??使企業能夠了解攻擊事件的各個階段;
??持續模擬網絡攻擊;
??衡量已部署的安全控制措施;
??改善網絡安全態勢;
??增加網絡可見性;
??提供對攻擊者的自動化和持續監控;
??在橫向移動的端點上模擬惡意軟件攻擊;
??識別漏洞并確定修復步驟的優先級;
??更快地規劃安全投資;
??通過合并紅藍團隊技術提供持續的覆蓋;
??風險管理;
??提供對攻擊路徑的感知;
??發現導致關鍵資產暴露的故障。
實施BAS的關鍵步驟
在實際應用中,有多種不同的方法來應用和實施BAS活動,這會因組織類型、規模、業務范圍和相關的網絡安全要求而異。企業在實際開展BAS應用時,可以參考以下的實施步驟建議:
1?識別網絡中的脆弱區域
在進行BAS活動之前,組織應該提前確定網絡中存在較大風險隱患的脆弱區域。這可以通過不同的方式完成,包括漏洞掃描、人工滲透測試和安全性審計。這主要目的是了解潛在的攻擊面,并確定任何弱點和漏洞。例如,對網絡進行漏洞掃描,以識別任何可能易受攻擊的過時軟件或未打補丁的系統。一旦確定了網絡中的脆弱區域,就可將其作為BAS測試工作的起點。在此過程中,組織可以優先識別出哪些領域值得重點關注。
2?創建基線安全模型
當企業發現并確定了脆弱區域,接下來要做的就是建立基線安全模型。這個特定的模型將表示公司安全控制的當前狀態。它可以為后續的安全性衡量改進工作提供必要的參考。
例如,基線安全模型應該包括公司防火墻、入侵檢測系統和其他安全控制的當前配置。當企業開始執行BAS活動之后,它可以作為度量其安全控制有效性的起點。
3?選擇合適的BAS工具
要持續性地開展BAS測試工作并不容易,企業應該選擇合適的BAS工具。市場上有各種各樣的BAS工具,每種工具都具有不同的功能。例如,如果組織的主要關注點是測試其網絡安全控制,那么最好的選擇是使用基于網絡的BAS工具。而在其他的需求背景下,他們則可以選擇另外的BAS工具,例如基于端點的、基于云的,以及基于他們的關注點和需求的其他工具。
4?進行模擬攻擊測試
當以上的工作完成后,企業接下來要做的就是進行BAS練習。這意味著要根據公司的關注點和需求進行一系列測試。
這一系列測試可以包括在網絡、端點、web應用程序、電子郵件系統、無線網絡或云基礎設施上進行測試。例如,如果公司關心的是基于電子郵件的安全控制。他們將進行模擬網絡釣魚攻擊,以測試電子郵件安全控制的有效性。它包括向不同的員工發送虛假的網絡釣魚電子郵件,并測量有多少人受到攻擊。
5?分析結果并改進
在成功的BAS應用中,企業還必須及時分析結果并改進公司的安全控制。組織需要審查由BAS工具提供的每一份報告和分析,并找到需要改進的地方。例如,回到網絡釣魚的例子,一旦公司采取并衡量了結果,它就可以培訓這些員工,并向他們提供更多關于網絡安全協議的信息,甚至可以讓他們參加研討會。組織可能還需要實現額外的電子郵件安全控制,例如雙因素身份驗證或高級垃圾郵件過濾。
BAS實施中的挑戰
BAS是保護現代企業組織免受網絡攻擊的有效方法之一,但在其實踐過程中,也會存在諸多的應用挑戰。
1?組織的專業知識和能力有限
這是組織在實施BAS方案時不得不面對的一大挑戰。許多組織都缺乏實現BAS的知識和專業技能。例如,員工有限的小型企業可能缺乏必要的技能來進行任何BAS練習;另一方面,即便是對大公司,可能很難找到具有所需專業知識的合格人員來運行不同的BAS測試;
2?改變傳統工作流程
這是組織在實施BAS時可能面臨的另一個挑戰。公司中的安全團隊或IT部門可能會抵制實施BAS,因為他們擔心會破壞他們的工作流程,缺乏對其應用價值的理解,或者對未知的恐懼。此外,業務部門員工也可能不愿意參與BAS測試技術,擔心影響他們的日常生產活動,或者可能被視為監控其活動的一種方式;
3?安全預算不足
對于資源有限的組織來說,實現BAS技術可能是昂貴的。執行測試運行所需的BAS工具、許可費用和人員成本可能非常高。小型企業需要盡可能申請并分配必要的資金來購買和維護BAS工具;另一方面,大型公司和組織也需要權衡BAS與其他網絡安全投資的投資性價比。
4?難以與現有安全基礎設施集成
將BAS與現有的安全基礎設施集成可能也是一大挑戰。組織將需要確保他們的BAS工具可以輕松地與現有的安全工具集成,包括防火墻、入侵檢測系統、安全信息和事件管理(SIEM)系統。
BAS工具的評估選型
在諸多市場因素的共同驅動下,BAS技術的應用正在迅速興起,而行業中目前也不乏BAS服務提供商。企業需要基于自己的整體安全目標和管理需求來選擇合適的BAS工具/方案,以下評估因素可以幫助企業選型BAS供應商,并加快決策。
1?了解組織當前的實際專業水平
在企業開始尋找合適的BAS工具之前,首先必須分析當前現有的安全運營水平和先進工具應用能力。如果企業有一個經驗豐富的團隊可以處理這些工具,建議選擇更為專業且功能強大的BAS工具。而如果企業的IT團隊缺乏經驗,則建議尋找易于使用的服務化BAS方案。
2?了解企業網絡應用場景的復雜性
具有簡單布局的BAS工具可以按照企業的期望交付掃描結果。然而,有一些具有顯著復雜性的BAS工具可能會使企業網絡暴露于不可控的風險之中。因此,企業在尋找BAS工具時,請確保衡量其針對網絡場景的復雜性級別。
3?獲得如何解決問題的建議
企業的安全運營團隊需要獨立分析場景掃描的結果嗎?如果不需要,可以選擇那些具有強大報告分析能力的BAS工具。此外,如果企業需要關于如何修復或補救問題的建議,則建議選擇具有漏洞管理服務資質的供應商。通常,企業還需要了解一些關于網絡漏洞的基本信息,就需要關注方案中的威脅情報能力。
4?是否具備持續更新能力
最后,企業需要充分考慮對網絡安全故障或持續攻擊的擔憂。例如,企業應該選型一個能夠提供與新場景相關的持續更新的BAS工具,這就需要在選型時明確提出要求,并對供應商的方案進行實際試用。
較熱門的BAS工具推薦
通過在網絡中部署BAS工具,用戶可以為其數字化業務發展增加更多的安全性。以下收集整理了目前較流行的6款BAS工具,并對其應用特點進行了簡要分析。
1?AttackIQ
AttackIQ是一個較先進的BAS平臺,提供實時可見性,幫助企業發現安全漏洞,識別錯誤配置,并優先考慮補救策略。用戶所需的只是部署測試點代理并運行場景,就可以獲得關于系統如何響應新出現的威脅的實時洞察。
關鍵特性
??易于使用的界面;
??支持MITRE ATT&CK框架;
??執行威脅驅動的防御行動;
??安全態勢的實時可見性;
??驗證安全控制措施;
??自動化安全驗證;
??可以無縫集成;
??快速識別錯誤配置和優先級補救;
??支持Windows、Linux、OSX平臺;
??與云或本地環境兼容;
??易于擴展;
??根據新出現的威脅不斷生成新的場景;
??內置場景清單;
??自動報告功能。
特點分析
AttackIQ具有較全面的功能,如實時可見性,連續測試和對MITRE ATT&CK框架的支持。該平臺快速識別錯誤配置和優先級修復的能力,使其成為增強安全態勢的強大工具。大多數公司都信任AttackIQ BAS工具,因為它有助于測試安全系統的有效性。它有一個易于使用的界面,允許管理員在短時間內連續運行多個測試。
傳送門:
2?Cymulate
Cymulate是一個較流行的BAS平臺,可以自動識別安全漏洞,并通過暴露于真實的攻擊來測試其強度。它還在預定的時間間隔內模擬攻擊,并生成有關分析和建議的深刻報告。
關鍵特性
??端到端網絡風險管理;
??安全態勢可視性;
??提供可操作的見解;
??評估管理;
??安全審計;
??漏洞掃描;
??支持第三方集成;
??提供持續的測試和建議;
??提供即時威脅警報;
??全自動和可定制的BAS工具;
??模擬惡意入站流量;
??運行定制的網絡釣魚活動;
特點分析
Cymulate具有廣泛的功能,不僅可以識別安全漏洞,還可以提供可操作的見解。它在后臺運行時覆蓋整個殺傷鏈的能力確保了組織業務操作不會中斷,使其成為任何組織的寶貴資產。同時,它是一種基于SaaS的解決方案,可以優化安全態勢,并努力保護業務關鍵型資產始終免受威脅或攻擊。
傳送門:
3?SafeBreach
SafeBreach是目前市場最早投入實際應用的BAS工具之一。該工具可以針對來自組織內部或外部的最新攻擊運行場景。此外,它還有助于識別安全漏洞,并根據安全問題對它們進行優先級排序。
關鍵特性
??能夠模擬15000 +攻擊場景;
??易于安裝;
??即時生成質量報告;
??強大的客戶基礎;
??兼容所有云和端點網絡;
??提供持續更新;
??識別未發現的安全漏洞;
??對威脅和漏洞進行優先排序;
??易于部署和集成;
??安全控制的持續驗證;
特點分析
SafeBreach在全球BAS市場上已經擁有豐富的經驗和廣泛的客戶群。該工具能夠模擬超過15,000種不同類型的攻擊,并提供持續更新,使其成為識別和優先處理安全漏洞的可靠選擇。
傳送門:
4?CyCognito
CyCognito是一款較先進的云化BAS工具,早在2017年就已經推出。引入CyCognito的主要目的是幫助企業監控和檢測高級威脅,同時,能夠有效消除和修復跨企業資產的關鍵安全風險。
關鍵特性
??提供持續的攻擊面可見性;
??攻擊面管理;
??與云、本地和其他環境兼容;
??映射易受攻擊的資產;
??工作流自動化功能;
??漏洞管理和掃描;
??高級分析工具;
??安全框架和遵從性;
??修復速度更快;
特點分析
CyCognito在攻擊面可見性和快速風險檢測和修復方面具有強大的功能。其先進的分析工具和工作流自動化使其成為漏洞管理的全面解決方案。在CyCognito的幫助下,管理員可以自動化攻擊性網絡安全操作,監控攻擊者產生的所有風險,并專注于如何修復安全漏洞。
傳送門:
5?DXC Technology
DXC Technology引入了多種內置的安全測試功能,可以有效幫助企業降低安全風險并幫領先于攻擊者。它還可以提供威脅情報、安全咨詢、監控和事件響應等服務功能。
關鍵特性
??管理事件響應和威脅;
? OT和IoT安全;
??威脅情報;
??自動化安全防御服務;
??托管SIEM;
??使用零信任策略保護數據;
??對網絡的全面可見性;
??高級威脅防護;
??多因素身份驗證;
??特權帳戶管理;
特點分析
DXC Technology提供了一種全面的網絡安全方法,適用于希望有效保護其數字資產的組織。它還使用其網絡防御服務提供對網絡的全面可見性,并保護關鍵資產免受破壞。
傳送門:
6?Infection Monkey
Infection Monkey是一款免費的開源BAS工具,主要用于測試企業的網絡系統對零信任框架的依從性。它是一個易于部署、安全且穩定的工具,具有直觀的用戶交互界面。Infection Monkey的主要設計目標就是幫助組織發現和繪制攻擊者的行動。
關鍵特性
??免費開源軟件;
??直觀的用戶界面;
??與本地、容器和基于云的環境兼容;
??允許對網絡安全進行連續測試;
??在GPL v3許可下開發;
??可視化和映射攻擊者的移動;
??可擴展且易于部署;
??在不影響網絡運行的情況下自動進行攻擊模擬;
??生成審計報告;
??支持在Debian、Windows和Docker上安裝;
??低CPU和內存占用;
特點分析
作為一款免費的開源工具,Infection Monkey易于部署、安全且穩定的特性使其成為希望發現和映射其網絡中潛在攻擊者活動的組織的絕佳選擇。它可以幫助組織發現內部部署和基于云的環境中的弱點。此外,它還支持廣泛的MITRE ATT&CK測試技術。
傳送門:
https://www.guardicore.com/infectionmonkey/
原文鏈接:
https://www.netadmintools.com/best-bas-tools/
https://www.scarlettcybersecurity.com/breach-attack-simulations