入侵与攻击仿真(BAS)是一种数据安全的过程 安全运营中心(SOC) 对攻击者可能破坏企业网络的各种途径(或载体)的安全状态保持警惕. 保持组织防御的当前“实力状态”可能是被挫败和成功的区别.
根据Gartner®, “BAS工具通过自动测试外部和内部等威胁向量,使组织能够更深入地了解安全态势漏洞, 横向运动, 数据泄露. BAS补充了红队和渗透测试,但不能完全取代它们.”
最后一个想法是至关重要的,因为它强调了利用一套全面的网络完整性测试工具的重要性,以确保强大的安全态势,可以抵御来自复杂攻击者的最新威胁. 网络安全 提供商通常提供攻击模拟工具、平台和服务套件.
事件响应(IR) 这些供应商的人员通常会使用最新和最相关的泄露场景来执行威胁模拟会话,帮助他们的客户了解泄露过程. 这包括确定关键的证据来源, 进行模拟通信, 并提供仿真后优化建议.
BAS工具通过与某些攻击者策略保持一致来工作, 技术, 和程序(TTPs),以便组织可以运行特定的模拟,以确定其响应行动的有效性,并在这些情况下创建/自动化剧本.
具体地说, Gartner的州 即“使用技术或服务功能的自动验证”, 例如入侵和攻击模拟(BAS), 或者自动化渗透测试工具将:
由此我们可以推断,验证和速度可能是BAS和其他攻击模拟工具的两个最关键的方面. 后一个方面——速度——回避了有关劳动力能力的问题. 那些专业是 威胁检测和响应 能够有效地采取行动,尽其所能消除威胁,并限制潜在的后果?
BAS工具可以在不可避免的事情发生之前帮助识别这些差距区域, 在某种程度上. 任何组织都不希望在没有应对攻击的技能的情况下猝不及防.
当然, 许多安全组织根本没有能力解决这些技能差距, 特别是在任何一种及时的方式-因此采用的上升趋势 托管安全服务提供商(mssp).
BAS与其他网络安全测试的不同之处在于,它是对安全组织在同样或更复杂的攻击事件中抵御和获胜的能力的更复杂的评估.
对于安全涉众来说,要知道哪个解决方案最适合测试他们的防御和响应准备情况是很困难的, 那么让我们来看看主要功能之间的一些区别.
A 漏洞评估 将扫描整个组织网络的漏洞,但不试图利用它们. 此功能是安全团队的核心操作, 这通常是初步了解网络在攻击面前有多脆弱的最好方法. 脆弱性评估后, 组织有责任决定如何进行优先级排序和补救.
虽然这不是一个简单的过程,但网络安全公司将执行一个 渗透测试(pentest) 专门寻找客户网络中的漏洞, 试图利用它们, 确定组织的整体风险. 此过程是公司安全控制的重要组成部分, 希望能激励组织对所有发现的漏洞采取广泛的补救措施. 它不会, 然而, 自动化特定的外部攻击者策略,而不是发现这些漏洞.
红队攻击模拟侧重于组织的防御, 检测, 以及响应能力. 红队操作员通常会执行现实世界的对抗行为和常用的http,以便组织可以衡量其安全计划的有效性. 然而,BAS和红队之间的主要区别在于自动化vs .自动化. 真实的人. BAS自动化了真实世界攻击者行为的过程,而Red teams则雇佣真人来执行模拟攻击.
企业需要BAS,因为他们的IT和安全专业人员应该始终了解他们的入侵响应能力的当前状态和强度. 在这个时代,soc需要考虑更多的存在性问题,例如:
最好的方法是彻底了解逃避的地方, 防守, IT和安全组织的补救能力是执行压力测试, 也被称为入侵和攻击模拟.
网络安全风险管理 程序可以结合像BAS这样的方法, 其中, 红队等,使SOC可以降低整体网络风险,并实现更强大的安全态势,以更好地应对攻击.
其他技术有更精细的方法来测试红外准备情况. “粘蜜罐”, 例如, 能否成为威胁行为者的诱饵,并对SOC应对威胁的准备程度进行重要考验.
有些测试方法是针对特定领域的,比如物联网(IoT)安全测试. 从测试实际硬件到设备网络渗透测试, 在攻击模拟中也可以考虑公司的物联网活动.
除了降低网络风险, 启用了bas的透明性可以提供哪些主要好处? 让我们来看看网络本身的潜力.
了解网络漏洞和弱点的当前状态可以帮助减轻当前和未来的安全复杂性,从而使正常业务成为标准,而不是安全紧急情况.