BAS(Breach and Attack Simulation,即入侵和攻击模拟)。2017年,Gartner在《面向威胁技术的成熟度曲线》报告中首次提出了BAS并将其定位为“一种正在崛起的技术”;2021年,Gartner在发布的《2021安全运营技术成熟度曲线》中,将BAS的技术优先级评为“高”;2022年,Gartner在《2022中国安全成熟度曲线》报告中再次提及BAS,将其认定为具有潜力的高价值技术,同时,推荐360数字安全集团作为该领域代表厂商。
BAS技术缘起:以攻促防,验证安全
随着新兴技术的发展,企业网络安全建设逐步完善,但攻击面也随之扩大,如何验证真实防御效能成为安全运营者面临的问题。一方面,红蓝对抗、攻防演习、渗透测试等活动受限于人员精力、安全团队技术水平、企业内部资源协调,无法常态化开展,难以系统性度量改进;另一方面,漏洞扫描、基线核查等自查工作更多聚焦于资产本身,缺乏攻击者视角,对防御能力评估效果不明显。
在此背景下,BAS应运而生。根据Gartner报告,“BAS通过自动化模拟外部和内部、横向移动和数据泄漏等威胁向量,使企业更好地了解自身安全薄弱点,其是对红队或渗透测试的补充,但并不能完全取代两者”。由此可见,BAS的出现为企业机构提供持续性的防御态势评估,弥补渗透测试等跨周期定点评估所提供的有限可视性。
BAS基于攻击者视角,通过模拟针对边界网络、内部网络和终端机器等资产的攻击行为,以攻促防,为企业建立并持续优化安全运营能力提供支撑,是企业搭建数字安全防御体系的重要保障。
浅析360 BAS :安全度量标尺
360自2017年便开始关注BAS技术;2020年推出国内首创BAS类产品;2022年,获Gartner报告推荐。以其精准、智能、实时、无害等核心特点,帮助客户持续提升安全防护水平和安全运营能力,打造“安全度量标尺”。
其主要具备海量技术案例支撑,海量技术案例支撑和全面配套服务三大优势。首先,依托360高级威胁研究院、漏洞研究院等多个核心安全团队基于实战和研究的成果,形成 360全景攻防知识图谱,产出众多技术案例,保障评估的专业性;其次,360从17年攻防实战中提炼漏洞利用和典型攻击的实例,自主研发输出超过数千份高仿真、安全的素材,高度还原真实事件进行模拟,保障评估结果的准确性;第三,360 BAS在部署后的所有报告皆可自动完成,通过实时更新的云端场景和360高级安全专家提供的专业安全服务,持续评估安全防护状态。
总之,360 BAS针对不同客户体量和防护场景,可实现多样化、灵活部署。通过全天候自动化评估自查,保障安全防御体系高效运营,及时改进提升,构建常态化安全验证框架。同时,提供可量化、可视化的安全评估态势,帮助客户针对性补齐安全能力,降低安全运营成本。
360 BAS落地实践:服务各行各业
支撑攻防实战,守护某大型金融机构安全
金融是国民经济命脉,现代经济的核心,某大型金融机构常年处于攻防对抗最前沿,日均遭受攻击已达上亿次,亟需准确评估并提升安全防御体系能力。
360以提升安全防御能力为核心目标,尤其针对托管运营网站的主机安全以及容器安全进行系统性评估,量化结果,发现潜在安全隐患,进行整体布防、策略调优,完善整体安全防御水平。同时,并将常态化的防御能力评估加入到日常运营工作中,帮助该金融机构实现风险前移、有效量化、主动防御,让安全“可知、可辨、可溯、可控、可管、可视”,打造实战化攻击模拟系统。
评估安防体系,筑牢某数据服务企业防线
数据作为新型生产要素,已成为社会数字化、网络化、智能化的基础,大数据改变着人们的生产方式、生活方式和社会治理方式,对企业服务也提出了更高要求。某数据服务企业在推动自身生产运营的智能化和服务水平的精益化的同时,也面临着复杂网络攻击的挑战,需要模拟真实攻击对其防护能力进行验证,从而为后续决策和整改提供依据。
360在该企业原有的态势感知平台增加部署BAS安全验证模块,综合多场景全面评估了企业的抗攻击能力,实现对现网中边界安全、内网安全、终端安全及邮件安全的防护能力进行验证,完成安全运营的闭环建设。展开来说,在攻防演练中,采用安全验证模块,可以从实战角度快速排查存在的安全隐患,并及时加固补强,提升自身摸底排查效率;在日常安全运营流程中,安全验证模块可以周期性针对现网安全防护能力进行安全验证,持续提升防护能力。
安全度量可视,助力某电力企业降本增效
近年来,针对电力等关键信息基础设施的网络攻击愈发频繁,某电力企业网络安全基础设施已基本完善,通常采用渗透测试服务评估其安全防护能力,但存在周期长、费用高、维度少等缺陷,亟待需要周期自动化、维度多样化、费用相对可控的评估服务。
通过便携式BAS工具箱,模拟数百种攻击手法对该企业现网的防护体系进行周期性安全防护能力验证,基于验证结果输出安全评估报告及补强加固建议报告,不断改善网络安全运营环境;同时,基于攻击全方位、应用实战化的安全防护能力评估服务,为防护加固建设和安全投入方向提供详实数据支撑,让安全提升、安全投入看得见。
安全能力可见,实现某零售企业纵深防御
零售行业呈现线上线下融合发展趋势,提出了从IT系统、经营、金融到供应链的全方位数字化需求。某零售企业业务体系庞大,其安全体系建设相对完善,已部署大量安全设备,并且定期进行漏扫排查,但排查手段聚焦资产自身安全,缺乏针对该企业防护能力的实战化验证平台。
360 BAS以实战化安全验证方式和资产漏洞排查手段互为补充,在重大活动前和活动中,全面保障安全运营的高效稳定。凭借强大的安全专家团队,针对热门攻击及时分析、提取、制作安全验证用例,并安全应用到自身防护能力的评估,保证该企业防护体系的有效性。此外,采用整体验证和专项验证结合的方式,同时考虑整体防御效果和单项防护能力,保证纵深防御的有效性和单类型设备的效用最大化,帮助该企业实现安全能力从被动式单点防护到主动式纵深防御的有序演进,并将进一步提升其面向实战的安全防护能力。
目前,360 BAS已广泛服务于金融、能源、通信、政务等行业客户。未来,360 BAS将充分发挥“安全度量标尺”的功能,为客户构建常态化安全验证框架,评估、查漏、提升安全能力!