2017年开始,Gartner就开始关注BAS技术,认为未来3-5年将成为最火爆的安全技术。随着时间的推移,BAS已经在海外混得风生水起,但在国内安全市场虽然还是新兵蛋子一枚。BAS翻译过来是入侵和攻击模拟,去年4季度BAS成为Gartner最关注的八大安全技术趋势之一。在2021年的Gartner的安全技术成熟度曲线中,位于最受期待技术的位置。
在Gartner的定义中,BAS是通过不断的模拟针对不同资产的攻击,验证安全防守的有效性。BAS翻译过来是“入侵和攻击模拟“,很容易让人认为这是不是就是渗透测试。如果从释义上来说,也容易和配置安全核查混淆。
首先,我们把BAS和“配置核查“区分一下,配置核查是合规性的检查,打个比方就如等级保护和MITRESHIELD,等级保护是合规性的防护技术要求,SHIELD是实战的防御技战术框架。
其次,我们看看BAS和渗透测试的区别,渗透测试是一个技术过程,是针对单个系统进行的攻击路径的验证,目前往往是人工进行。而BAS模拟的是整个面的攻击测试,不仅面向单个业务系统,还针对服务暴露面进行探测、不仅要外部进行突破、还要考虑进入网络后的内网横移、对安全设备进行策略的有效性进行验证等,同时这个过程是一个自动化的、持续的检测过程。我们可以看到BAS的概念涵盖的面更广泛,更实时,更自动化、更智能化。
那么,一套比较完善的BAS系统需要包含哪些能力模块呢?
笔者认为至少需要具备以下几个能力:
对于外部暴露面的探测能力。能够有效的了解到目标网络暴露出来的IP、端口、指纹等等。
对于漏洞的基础扫描能力,能够通过扫描技术发现可能的漏洞风险。
具备外部网络直接做web渗透和边界突破能力,通过自动化的POC/EXP程序对漏洞进行验证和利用,完成外网安全评估。
具备对内网安全的评估能力,能够自动横移,完成后渗透阶段的内网安全评估。
具备对安全产品策略有效性的验证能力,能够通过模拟不同的攻击绕过方式,评估本安全产品在当前策略下,面对实战攻击时,防御能力是否有效。(不同安全产品不同时间点不同安全策略,评估出来的结果是不尽相同的。)
具备周期性的自动化能力,能够按照用户需求持续进行评估。
具备图形化展示能力,能够简单直观的把整个过程图形化展示出来,使领导也能一眼看清防御体系有效性情况。
总之,实施BAS体系后,能够很大程度上解决红队攻击过程的自动化智能化问题,能够将红队的重复工作的部分大幅度的降低。能够有效的替代低水准的渗透测试人员,使红队专注于做更有价值的工作,如社工、高阶的战术动作等。在国内网络安全越来越实战化的今天,BAS必将在很长一段时间内成为CSO的必选的技术解决方案。