入侵与攻击模拟工具的真相
星期三, 八月 7, 2019
2017 年,Gartner《面向威胁技术的成熟度曲线》(Hype Cycle for Threat-Facing Technologies) 中首次出现入侵与攻击模拟 (BAS) 工具这个分类,并将之归到了新兴技术行列。正如 Gartner 描述的,此类工具 “可供安全团队以一致的方式持续测试安全控制措施,贯穿从预防到检测(乃至响应)的整个过程”。自 Gartner 将 BAS 带入大众视野之后,此类工具所获关注度一飞冲天。但只要在安全行业待过几年就知道,热炒往往会搞混人们对所涉技术的功能、安全角色及作用的理解。作为安全专业人员,必须驱散这些误解,看清事实真相,挖掘这些工具的真正价值。
认识到数据泄露规模与速度双增长,我们正从重在预防转变到将检测、响应与自动化都纳入关注重点。终端检测与响应 (EDR) 等工具的激增、MITRE 的威胁建模模型 ATT&CK 框架的流行,以及入侵与攻击模拟工具的兴起,都是这股进化趋势的有力体现。通过引入自动化,BAS 工具可使安全人员更加快速地执行模拟,持续测试控制点有效性,在动态威胁态势下更一致地保证安全状态。
BAS 工具是增强漏洞管理项目的有效方式,但并不能替代漏洞扫描或渗透测试解决方案。这些工具不直接审查信息资产,也不试图找出资产中的漏洞。BAS 工具采取的是基于活动的全面视角,衡量的是整体安全有效性。它们持续自动化同步执行端到端攻击场景模拟,让用户可以更快找出网络与系统中存在的安全漏洞,抢在攻击者运用攻击生命周期中的各种战术、技术与流程 (TTP) 突破漏洞之前即时加以修复。
每逢新技术类别出现,“万能解决方案” 症状就会冒头。但并没有哪种技术能大包大揽解决所有网络安全问题。威胁态势太过复杂,且是动态变化的。攻击界面总在扩展和改变。相应地,安全技术和策略也必须持续进化。BAS 工具是向前迈进的重要一步,可作为手动攻击模拟的补充和增强,但这些工具也仅仅是安全技术栈中的一环,并非 “设置了就能抛诸脑后” 的。根据自身环境配置和调适攻击模拟的工作仍需人工操作,根据公司威胁态势识别首要用例,以及解读攻击模拟结果的工作也需由人类分析师完成。
入侵与攻击模拟操作正是红队/蓝队和紫队演练的实际内容。红队/蓝队模式主打在为期数周或数月的演练中实施攻防对抗,演练结束后总结防御漏洞并进行修复。紫队模式则更注重协作与迭代,在演练过程中即改善公司安全态势,即时捕获持续价值。无论采取哪种模式,BAS 工具都能通过自动化扩展演练,提供比手动方法更快的模拟能力,单位时间内可执行更多模拟演练。但红队与紫队在使用 BAS 工具时应保持警惕,因为如果单纯依赖这些工具,有可能会得到一种虚假的安全感。模拟都是现成既定的场景,并没有考虑到每家公司的细微差异。必须明智挑选要执行的模拟场景。而这就要求相关人员能够根据公司及行业所面临的威胁、公司需保护的特定资产,以及确保检测与防范按既定方式运行的专业知识,来丰富或调整模拟。
公司企业在资产保护上投资巨大。国际数据公司 (IDC) 预测,到 2022 年,全球安全开支将超 1,330 亿美元。但这些技术和工具真的按照设想运转了吗?BAS 工具能够高效一致地衡量现有安全检测功能及运营的有效性。模拟结果可帮助指导产品投资及配置决策以堵上安全漏洞,还有助于补全企业领导的网络安全知识空缺。讨论风险管理,回答董事会和高管相关问题时,便可用上 BAS 工具的模拟结果。比如:攻击者能悄悄绕过我们的防御吗?我们适用的风险是什么?这些风险对我们能造成什么样的影响?这可以使安全人员处于影响短期投资决策、参与长期安全规划的位置上,还能从商业角度报告安全运营上的改善。
BAS 工具是防御武器库的重要补强。但与其他安全投资类似,只有了解该技术的优势与短板,才能充分体现其价值。相比传统方法,BAS 工具有助于更快更省地维持基本安全保障。而且,若与恰当的专业技能结合,BAS 工具可助你在公司整体成功中起到战略性作用。