入侵和攻击模拟(BAS)实践
一、前言
在2017年Gartner定义了BAS入侵和攻击模拟这个类别。在Gartner的定义中,BAS(Breach and Attack Simulation)是通过不断模拟针对不同资产的攻击,验证安全防护的有效性。
目前,经过几年的发展,国外BAS技术已经相对成熟,在2021年Gartner发布的安全运营技术成熟度曲线中,BAS仍处于高市场预期的热门赛道。近两年,国内BAS厂商也不断涌现,随着技术的不断成熟,BAS未来或将成为主流的安全风险检测技术。
二、背景
1、什么是Breach and Attack Simulation (BAS)?
Breach and Attack Simulation (BAS)翻译过来就是入侵与模拟攻击Gartner 将 BAS 称为“顶级安全和风险管理趋势”,BAS 是一项新兴技术,它可以按需自动模拟企业的复杂网络来进行攻击,帮助测试企业系统的安全。它不像普通的自动化渗透测试工具,BAS可以自动模拟数据泄露、对组织电子邮件系统的网络钓鱼攻击、对端点的恶意软件攻击,甚至是网络内的横向移动等,它可以执行各种破坏和攻击模拟。
2、我们为什么要做BAS?
a.红队安全的预模拟阶段通常是最漫长和最重要的部分。首先需要考虑多久执行一次红蓝对抗它们可以每年、每六个月、每季度、每月或其他频率举行一次,而且这种红蓝队测试需要安排大量人员,那么时间、人员、金钱上会消耗大量成本。如果通过BAS进行ATT&CK模拟入侵,这样在人员、时间、金钱上可以节省很多成本。
b.在红蓝对抗中是有规定靶标资产,实际的对抗攻击需要不断的去探索下一个突破口,这难免会探测到我们靶标以外的资产,BAS可以通过下定点的方法,P2P进行攻击。
c.随着数据安全法的发布,数据安全也成为重点关注问题,在ATT&CK攻击时可能会导致我们的凭据和数据的泄漏,BAS可以在内网中部署运行,这样可以避免数据泄漏的情况。
d.随着近5年信息安全建设工作的有序推进,我司信息安全防御水平有较大提升,公司部署大量安全设备,进行模拟攻击可以来检验安全运营的有效。因为安全系统需要不断升级以应对新的和高级的安全威胁,并且必须定期对这些升级后的系统进行测试,来检验它们是否甚至可以对抗潜在的网络安全威胁。
e.随着组织迁移到云或考虑替代本地基础架构,作为一项新技术,bas可以部署到大多数基础设施或网络段。
f.防止第三方红蓝对抗人员不讲武德。
三、实践
1、确认风险点
a.BAS 工具及其频繁的测试(包括突袭模拟)会增加安全警报的数量。这会使他们难以区分非常重要的警报和 BAS 测试生成的警报。
b.模拟攻击触发的响应操作可能会使生产系统脱机或减慢操作速度。
2、针对风险点的防御措施
a.记录好模拟的ip地址,在模拟之前提前报备ip,防止产生没必要的响应。
b.在每个模拟的位置添加虚拟靶机,实现点对点无害模拟。
3、怎么去模拟
对于场景也区分为内网场景和公网场景。
1)针对外网
a.模拟操作系统、应用软件、Web应用、中间件、组件等漏洞利用场景,每种场景至少包含5种绕过手法。
a.通过邮件、社交软件等平台模拟社工投递病毒样本的钓鱼场景,每种场景至少包含3种绕过手法。
2)针对内网
a.模拟突破边界后上传webshell、内存马、后门等黑客工具等场景,每种场景至少使用3种绕过手法。
b.模拟突破边界后建立隧道场景,至少使用3种协议建立隧道。
c.模拟操作系统、应用软件、Web应用、中间件、组件等漏洞利用场景,每种场景至少包含5种绕过手法。
d.使用内网扫描工具模拟内网端口扫描、资产发现、口令扫描、漏洞扫描等场景,每种场景至少包含3种绕过手法。
e.模拟内网信息收集场景对内网的wiki,磁盘,浏览器、邮箱等进行上传或下载等信息收集动作,每种场景至少包含3种绕过手法。
f.模拟内网钓鱼场景,至少使用3种以上内网钓鱼场景,每种场景至少包含3种绕过手法。
g.模拟对代码仓库代码上传、下载、篡改等场景。
h.模拟批量指令下发场景,至少使用3种命令绕过手法。
i.至少模拟5种横向渗透攻击场景,每种场景至少包含3种绕过手法。
j.模拟访问跨域场景。
四、最后
每个公司都有自己不同的需求点,我这边仅是根据公司想要的需求进行模拟。首先是锁定需要模拟的安全设备,然后根据覆盖率,健康度,有效性三方面去开展。欢迎留言共享想法
入侵和攻击模拟(BAS)实践相关推荐
- BAS入侵和攻击模拟 简析(一)
一.概述 全称Breach and Attack Simulation,翻译为入侵和攻击模拟.Gartner定义:BAS是通过不断的模拟针对不同资产的攻击,验证安全防守的有效性. 二.概 ...
- 2021-2027全球与中国入侵和攻击模拟解决方案市场现状及未来发展趋势
2020年全球入侵和攻击模拟解决方案市场规模达到了xx亿元,预计2027年将达到xx亿元,年复合增长率(CAGR)为xx%. 本文重点分析在全球及中国有重要角色的企业,分析这些企业入侵和攻击模拟解决方 ...
- 入侵与模拟攻击(BAS)——新兴的安全防护有效性验证评估技术
近年来,为应对等保和护网等网络安全监管要求,企业已经采购部署了大量的安全防护设备,那么企业的安全防御体系是否已经足够坚固? 企业网络安全防护现状 根据Gartner的调查,97%的入侵行为发生在已经部 ...
- 披荆斩棘:论百万级服务器反入侵场景的混沌工程实践
在繁杂的业务和网络环境下,在公司百万级服务器面前,要做到入侵发生时的及时检测,那么反入侵系统的有效性,即系统质量,是至关重要的. 洋葱系统是腾讯公司级的主机反入侵安全检测系统,它是实现了前端主机age ...
- 入侵sf服务器技术_披荆斩棘:论百万级服务器反入侵场景的混沌工程实践
作者:[腾讯反入侵团队]jaylam 在繁杂的业务和网络环境下,在公司百万级服务器面前,要做到入侵发生时的及时检测,那么反入侵系统的有效性,即系统质量,是至关重要的. 洋葱系统是腾讯公司级的主机反入侵 ...
- 分子模拟的理论与实践_活动回顾 | 信息学院模拟党支部实践成果汇报会
信息学院模拟党支部实践成果汇报会 为帮助入党积极分子更好地学习党的精神,加强其全心全意为人民服务的意识,信息学院模拟党支部各小组于本月开展了内容多样的实践活动.为全面深入了解各小组的实践情况,信息学院 ...
- DDoS攻击模拟与Metasploitable渗透
DDoS攻击模拟与Metasploitable渗透 Part.1 DDoS介绍和发展史 1.DDoS:Distributed Denial of Service,分布式拒绝服务攻击. 2.带宽消耗型攻 ...
- ARP攻击与防范实践
1.ARP中间人攻击原理 攻击原理:攻击者利用ARP机制,让PC-A学习到IP-S与MAC-B的映射关系,又让Server学习到IP-A 与MAC-B的映射关系.如此一来,PC-A与Server之间交 ...
- 网络协议与攻击模拟 | APR_TCP | 系统性学习 | 无知的我费曼笔记
文章目录 网络协议与攻击模拟-APR协议 网络协议与攻击模拟-实施ARP攻击与欺骗 实施ARP攻击 实施ARP欺骗 网络协议与攻击模拟-TCP三次握手 网络协议与攻击模拟-APR协议 APR协议的作用 ...
最新文章
- 发布Web应用程序时发生的“xx.aspx.cs文件不存在”错误
- [转]]将 ASP.NET MVC3 Razor 项目部署到虚拟主机中
- 看看自己08年的基金是否能赚钱
- cin.get(),cin.getline(),getline(),gets(),getchar()
- 完整简单c语言程序代码,初学C语言常用简单程序代码
- Edge浏览器中使用IE浏览器网站
- MySQL入门系列:查询简介(二)
- AVFormatContext、AV_read_frame、av_seek_frame
- android 一直开机画面,解决:Android模拟器一直停留在开机画面
- 图论(图、树基本知识)
- 测试工程师之【python】按工龄开始日期和司龄开始日期计算当年公司福利年假
- repeater的使用方法详解
- 笔记本使用计算机的快捷键是什么,笔记本电脑截屏的快捷键是什么
- 起点小说免费看 Scrapy爬取起点小说网数据导入MongoDB数据
- Grin交易原理详解
- Linux 磁盘与文件系统管理(鸟哥私房菜)
- python有限元例题_《有限元分析基础教程》(曾攀)笔记一-二维杆单元有限元程序(基于Python)...
- plsql查询是否锁表Oracle
- 全球与中国分期付款解决方案市场现状及未来发展趋势
- Android可滑动画板,Android实现画画板案例