我第一次知道这个概念是在学习CISSP的时候,然后我只知道BAS是通过模拟攻击者对系统进行攻击和入侵来验证安全控制的有效性,我以为可能就是漏扫吧。今天有BAS的厂商过来宣讲,因此我对BAS有了新的理解。
2,在受害端装一个Agent
3,攻击端Agent发送检测系统漏洞的Payload
4,受害端Agent会监听收到的Payload
5,对比发送的Payload跟收到的Payload(可能在受害端做也可能在Master那里做)
如果一模一样(也可能是其他对比策略),那么认为中间的防护措施(比如IPS)失效了。
2,漏洞验证目标有没有漏洞,BAS验证Payload从起点到终点这个路径中的防护措施有没有做生效(阻断/替换/过滤之类)。
3,漏扫可能会对业务造成影响,BAS不会对业务造成影响,因为完全可以使用靶机进行验证。
4,一个问题,BAS会使用多种方式进行验证(比如使用10种命令执行绕过WAF的方式,然后发现有3种方式WAF没有识别到,然后给出加固建议)
5,BAS会包含大量的规则,覆盖更多的攻击手法(像ATTCK中的所有过程)。
2,这类控制措施覆盖多个维度
3,有对安全设备进行运营的人
商业的BAS产品通常覆盖很多维度,比如网络安全、主机安全、应用安全、云安全等,如果你只在应用安全这个维度有预防性的控制措施,那么其他场景的验证就对你来说没有什么用了。
BAS可以帮助运营安全设备的人员生成可衡量的指标,以更好的优化、展示(工作量)。
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4ODU4ODYzOQ==&mid=2247485068&idx=1&sn=49932d984fee5771a7a2f100fcbc3c0c&chksm=cff996bcf88e1faa860d8c4d4ba8e9424f0aada2e699e64abe48405cc33ecd1cf834743f0d3a#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh