深入了解入侵和攻击模拟（BAS）：构建更强大的网络安全防御体系

市场新闻

1年前

网络安全的本质是对抗，在传统安全建设中，纯粹的红队视角是对环境进行安全测试，助力安全管理看清当前薄弱环节；而纯粹的蓝队视角则是抵御各种攻击并溯源分析，助力安全管理动态迭代。但随着实战攻防趋势以及各种政策驱动下，企业网络安全观念和防御策略由被动防御转为主动防御，企业更为重视实战化的安全防御能力，安全管理也正向实战化演进，这便需要结合红蓝双视角，以消除攻防信息差，我们可称这类群体为紫队。

作为安全运营管理的紫队需具备攻击者视角，不仅需结合红队的问题结果以及蓝队的处置结果，以用于持续性对企业进行安全测试、攻防演练、监管排查、应急响应等能力进行验证，同时，还需要结合攻击报告、攻击思路、安全建设问题以及合规标准并给出安全评价，以消除攻防信息差。

在未来发展红队更需要高频次深度检查，提前占据主动，蓝队亦需进行常态化实战对抗，以实战养精兵，消除攻防信息差具备攻击视角。为更好的对应实战化网络安全环境，对当前网络安全建设进行持续性挑战及验证，业内提出一种更真实、更动态、更实战化的安全评估和训练手段-入侵和攻击模拟（BAS），其作为当下主动的安全体系评估技术，通过模拟实际的攻击手段或场景来测试组织的安全体系防御能力，对于提高组织的网络安全防御能力具有重要意义。

01 BAS，备受咨询机构推崇的利器

入侵和攻击模拟（BAS）是一种网络安全技术，是技术、流程和工具的融合，它通过模拟实际的攻击场景来测试组织的防御能力。BAS技术模拟了攻击者可能采用的各种攻击手段和技术，以评估企业的网络安全防御系统在面临真实威胁时的表现。通过入侵和攻击模拟，企业可以更真实地评估其安全防御能力，发现并修复潜在的安全漏洞，提高应对网络攻击的能力。

BAS技术自被提出以来，一路发展备受Gartner推崇。2017年，Gartner在《面向威胁技术的成熟度曲线》报告中，首次提出BAS并将其定位为“一种正在崛起的技术”；2021年，Gartner在发布的《2021安全运营技术成熟度曲线》中，将BAS的技术优先级评为“高”；2022年，Gartner在《2022中国安全成熟度曲线》报告中再次提及BAS，将其认定为具有潜力的高价值技术。可以说，Gartner对BAS技术的认可和推广对其发展产生影响。Gartner将BAS列为网络安全领域的关键技术之一，预言其将成为主流发展技术之一。

Gartner认为，企业机构可利用BAS技术，自动对威胁向量进行统一的评估。同时，BAS有助于企业机构发现针对其重要资产的攻击路径，确定实战能力建设的优先任务，并在中国国家级攻防演练的背景下，为企业机构的攻防演练做好准备。BAS有助于企业机构评估其检测并阻止模拟攻击的安全控制及能力。

02 BAS，主动防御的关键技术之一

入侵和攻击模拟（BAS）技术的发展是网络安全实践、技术进步、市场需求和合规性要求等多方面因素叠加、共同作用的结果。

BAS是一种先进的信息安全技术，它通过模拟真实的攻击场景来评估和提高组织的网络安全防御能力。与传统的渗透测试和漏洞管理工具相比，BAS有着显著的不同之处。传统的渗透测试通常是由安全团队执行的一系列预先计划好的攻击行动，旨在发现系统中的漏洞并评估其严重性。而BAS则更加动态和全面，它不仅模拟攻击行为，还模拟了数据泄露的过程。这使得BAS能够更加真实地反映出安全防御在实际攻击面前的反应和表现。

BAS的攻击模拟是持续进行的，它不会只在特定时间进行一次性的测试，而是像持续的网络安全监控一样运行。BAS能够及时地检测和评估组织对于新出现的威胁的防御能力。使用BAS的目的是为了确保安全措施能够在不断变化的威胁环境中有效运作。这种模拟攻击可以验证安全策略、检测潜在的弱点，并提供实时反馈，帮助组织改善其安全防御。

在Gartner等权威机构的定义中，BAS被认为是一种能够帮助组织在攻击发生前进行主动防御的关键技术。通过模拟攻击，组织可以未雨绸缪，而不是等到真的遭受攻击时才做出反应。主动防御对于在当今复杂且多变的网络环境中保护关基设施安全至关重要。随着网络威胁的不断演变，BAS技术也在不断进步，以满足组织对强大网络安全防御能力的需求。

03 BAS，安全有效性验证重要手段

入侵和攻击模拟（BAS）和安全有效性验证在网络安全领域扮演着重要的角色。安全有效性验证通常是指对安全措施和策略的有效性进行验证的过程。这可能包括对安全设备的配置、安全策略的实施、安全团队的响应能力等方面进行评估。经常用于验证潜在攻击者如何实际利用已识别的威胁暴露，以及保护系统和流程如何反应。现有蓝队和红队工具正在向高度定制化和灵活侵入性靠拢，以更有效地测试企业的防御能力，包括安全控制和监控工具的功效和配置。由此产生的见解可以更轻松地进行跨团队决策，包括动员决策者分配相关资源。安全有效性验证的目的确保安全措施能够在实际攻击中发挥作用，防止或减少安全事件造成的损害。

BAS和安全有效性验证旨在确保企业的网络安全防御体系能够有效地识别和防御威胁，提高组织的网络安全防御能力。BAS可以作为一种手段来进行安全有效性验证，而安全有效性验证可能包括模拟攻击在内的多种评估方法。通过BAS模拟的攻击场景，可以检验企业的安全策略、设备配置和团队响应是否能够有效应对真实的攻击。

以“战”养兵、以“战”练队

华云安连续两年入选Gartner®“中国网络安全技术成熟度曲线”报告，成为攻击面管理（ASM）及入侵和攻击模拟 (BAS) 双领域代表厂商。华云安灵刃·智能渗透与攻击模拟系统（BAS）是基于人工智能技术自主研发的企业级安全建设有效性验证系统。总结提炼多种安全实战场景下攻击者的战术、技术和方法，沉淀企业专属的用例库，结合以攻促防御思路，自动模拟杀伤链的不同阶段和不同场景，对互联网边界防护、DMZ区边界防护、数据中心应用防护、办公网终端防护、全网跨网横移防护进行实战化安全模拟，同时收集现有安全系统的检测及响应情况，持续性验证网络安全防护的有效性，通过量化评估对抗外部威胁的能力，确保安全防护策略有效运行，协助用户持续优化和补齐安全防护体系，持续推动企业安全防护实战化发展。

产品特性：

自动化KillChain链路验证：采用自动化编排能力，将暴露面收集、弱点利用、内网穿透、智能决策、迭代攻击、自主移动等多元化技术承载在各个功能模块中，基于KillChain链路，以攻击者视角对网络弱点和安全防御策略进行可控攻击模拟验证，直观呈现网络弱点影响及安全防御体系有效性。

安全防护策略有效性验证：基于攻击面行为分析，通过场景剧本将12类战术技术与子技术排列组合，灵活适配组织不同业务结构下的网络安全防御体系，实现持续化自动化的安全设备有效性验证流程。

安全体系风险评估：依托国家标准、行业监管要求、企业自身标准的安全模型，建立不同场景下的安全风险评估验证策略，轻松扩展适应新的威胁与业务场景，将安全防护体系暴露在复杂多变的实战对抗环境中，分析自身与标准要求的差值，以科学、有效为核心构建实战防护体系。

安防态势可观测：可持续对组织采购的安全设备、安全软件、安全工具及配置的安全规则、策略等网络安全防护体系工作进行清晰量化，定性和定量的呈现其安全工作价值，直观感受安全设备覆盖率，设备合格或不合格的体现，并通过全局态势了解安全防护的整体变化趋势情况。

安全运营效果度量：基于用户选取目标和场景，自动化验证场景结果的关联关系并与运营模型进行匹配，识别人员、流程等非技术因素对安全响应、安全运营效果的影响，以数据及事件的形式来量化安全运营效果，为组织安全资源投入及安全策略调整提供有利依据。

攻防知识图谱经验赋能安全验证

华云安以“看见安全”为目标，协助企业构建持续化可度量的实战安全验证体系。其中华云安BAS产品以安全验证中心作为唯一平台，以安全防护实战化、防护效果可量化、防御能力体系化为核心，实现企业技术安全及管理安全体系的动态风险评估。

从技术安全上，验证安全设备的安全策略安全及其设备本身安全，同时可以结合分区分域的理念，可实现边界安全场景、终端安全场景、邮件安全场景的有效性验证，从实战角度全面评估组织的安全建设效果。

从管理安全上，平台以行业监管标准、企业安全体系建设要求、企业人员安全管理要求出发，以服务形式协助组织将合规性政策与平台自身安全策略进行一一匹配，从合规监管角度验证组织管理安全。并将技术安全与管理安全的量化指标转化成相应的数据，如技术覆盖率、攻击成功率、验证通过率、风险检出率等，以数据支撑平台安全建设效果，量化企业整体的安全投入，协助企业管理人员、安全负责人对安全投入、红蓝运营、合规建设做辅助建设。