隨著網(wǎng)絡(luò)攻擊的不斷增加,企業(yè)亟需尋找到合適的解決方案以應(yīng)對威脅攻擊。那么,解決方案的有效性成為眾多企業(yè)需要考慮的首要問題,否則最初的預(yù)想將不會成立。基于此,越來越多的企業(yè)開始采用入侵和攻擊模擬BAS技術(shù)來對應(yīng)用的安全性進(jìn)行持續(xù)攻擊模擬,以驗證解決方案的有效性,從而確保應(yīng)用的安全性。本文主要對BAS技術(shù)的關(guān)鍵能力和價值進(jìn)行分析。
能力 1 攻擊技術(shù)和APT覆蓋
隨著攻擊技術(shù)的不斷升級,攻擊者開始使用越來越多的攻擊工具對應(yīng)用漏洞進(jìn)行挖掘和利用,進(jìn)而展開攻擊。而BAS技術(shù)參考MITRE ATT&CK框架等知識庫可以覆蓋APT高級威脅的攻擊戰(zhàn)術(shù)、技術(shù)和程序。
圖1 攻擊的三個主要階段
在實際應(yīng)用中,攻擊者主要通過如下三個階段完成攻擊進(jìn)程:
預(yù)滲透階段:收集有關(guān)目標(biāo)組織的信息以計劃未來的攻擊行動,即資產(chǎn)信息探測收集,漏洞掃描發(fā)現(xiàn)。
利用階段:對發(fā)現(xiàn)漏洞進(jìn)行攻擊投遞(社工釣魚等),試圖繞過防護(hù),對漏洞進(jìn)行利用。
后滲透階段:試圖獲得更高級別的權(quán)限,即利用漏洞來提升訪問權(quán)限,并在目標(biāo)環(huán)境中移動,即使用合法憑證在多個系統(tǒng)中進(jìn)行流轉(zhuǎn),與受感染系統(tǒng)通信以控制它們,即模仿正常的網(wǎng)絡(luò)流量與受害網(wǎng)絡(luò)通信,從而操縱、中斷或破壞系統(tǒng)和數(shù)據(jù),即使用勒索軟件加密數(shù)據(jù)。
BAS通過繪制黑客采用的潛在技術(shù)和策略,使模擬攻擊變得更加符合實際:
BAS利用可執(zhí)行的攻擊方法,不斷地驗證所有防御措施,以應(yīng)對MITRE的各種ATT&CK威脅。
通過不斷模擬入侵方法并映射到MITRE ATT&CK框架,BAS暴露出安全工具配置錯誤或未安裝補丁時出現(xiàn)的漏洞。
BAS在不影響數(shù)據(jù)和破壞實際生產(chǎn)環(huán)境的情況下,會在生產(chǎn)環(huán)境中運行,以確保準(zhǔn)確性。
而且,企業(yè)上云的進(jìn)程不斷加快,BAS技術(shù)可以解決針對公共和私有云基礎(chǔ)設(shè)施(IaaS)的攻擊,包括IAM、網(wǎng)絡(luò)、存儲和管理員訪問的控制平面,避免了云計算堆棧中橫向移動、系統(tǒng)濫用、特權(quán)升級和運行未經(jīng)批準(zhǔn)的進(jìn)程問題。此外,BAS技術(shù)平臺還可以覆蓋網(wǎng)絡(luò)、端點、云和電子郵件的主要攻擊面,避免了安全控制中的錯誤配置。前面我們也講到,BAS是漏掃、滲透測試等手段的有效補充,通過持續(xù)性攻擊模擬入侵,可以更好地發(fā)現(xiàn)并防范未知威脅,規(guī)避了更多威脅的產(chǎn)生。
能力 2 易于使用和生態(tài)系統(tǒng)集成
通常情況下,BAS將通過模擬攻擊來測試每個解決方案有效性,避免黑客進(jìn)行滲透、利用主機、橫向移動和竊取數(shù)據(jù)。它簡化了手動驗證或調(diào)優(yōu)滲透測試系統(tǒng)的繁瑣過程。而且,BAS還具有集成能力,可以更好地應(yīng)用在實踐中。
1)安全事件的自動化分析技術(shù)集成BAS可以與端點、網(wǎng)絡(luò)和SIEM解決方案集成,以自動將安全事件與模擬攻擊關(guān)聯(lián)起來。這為安全團(tuán)隊在分析和搜索關(guān)鍵事件和識別漏洞方面節(jié)省了大量時間。有效的集成使BAS平臺能夠自動確定模擬的攻擊是否被安全生態(tài)系統(tǒng)阻止、檢測或完全繞過。
2)與自動化工作流和過程集成BAS可與SOAR、SIEM等緊密集成工作流程,以實現(xiàn)自動違規(guī)修復(fù)。與工作流系統(tǒng)的集成可用于觸發(fā)其他流程,用于指導(dǎo)問題緩解和補救所需的信息收集、配置更改。
能力 3 優(yōu)先處理
由于BAS平臺將持續(xù)運行數(shù)十萬種入侵方法,以在已知的TTP上測試所有安全解決方案和控制的有效性,這將產(chǎn)生許多警報和緩解建議。而與端點、網(wǎng)絡(luò)和SIEM解決方案的集成對于將事件自動關(guān)聯(lián)到適當(dāng)?shù)陌踩刂浦陵P(guān)重要。諸如風(fēng)險評分、熱點圖和網(wǎng)絡(luò)暴露圖等功能可以幫助安全團(tuán)隊查看和量化需要重點修復(fù)的領(lǐng)域。
BAS可以將威脅按類別分組,如網(wǎng)絡(luò)、web、端點和電子郵件,并展示出來,然后按業(yè)務(wù)風(fēng)險進(jìn)行排序,將緩解措施放在堆棧中進(jìn)行優(yōu)先排序。安全團(tuán)隊可以根據(jù)優(yōu)先級進(jìn)行補救,以改善業(yè)務(wù)風(fēng)險情況。
能力 4 易于部署
目前,受行業(yè)需求背景的不同,例如金融服務(wù)、醫(yī)療保健、政府等某些行業(yè)一般要求本地化或者私有云部署,而某些互聯(lián)網(wǎng)行業(yè)希望SaaS部署,以實現(xiàn)輕量級。不管是哪種需求,BAS都可以滿足,因為它既可以SaaS模式部署,也可以本地化部署,完全符合業(yè)務(wù)系統(tǒng)需求。
此外,BAS還可以部署在云的環(huán)境中,不管是公有云、私有云還是混合云,完全適應(yīng)企業(yè)上云的趨勢,而且可以滿足Windows、Linux和MacOS系統(tǒng)的需求。
入侵和攻擊模擬BAS技術(shù)雖然不是最新的技術(shù),卻是近年被熱點關(guān)注的技術(shù)。隨著越來越多企業(yè)的涉足使用,BAS的關(guān)鍵能力也會被眾多企事業(yè)單位所熟知,其驗證和風(fēng)險評估能力也會被凸顯出來。不得不說,其已有不可替代的趨勢。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
