研报总结
核心概念与背景
入侵和攻击模拟(BAS)是一种通过模拟恶意入侵者可能使用的攻击路径和技术来识别安全环境中漏洞的新型安全测试方法。Gartner将其定义为一种工具,允许企业使用代理软件、虚拟机等手段,持续不断地模拟针对企业基础设施的完整攻击周期(包括内部威胁、横向移动和数据外移)。BAS技术与传统的扫描测试、渗透测试和部署前测试相比,在实时性和全面性上具有显著优势。
四种安全评估方法对比
四种主要的安全评估方法包括扫描测试、渗透测试、部署前测试和BAS测试。其中,BAS测试在全面性和实时性方面表现最佳,能够更全面地模拟攻击路径并实时验证防御能力。
是德科技BAS方案优势
是德科技作为20多年的专业网络安全测试市场领导者,其BAS方案基于MITRE ATT&CK框架,具有以下核心优势:
- Threat Simulator仿真网络攻击链:通过模拟网络攻击链,持续验证企业的防御能力。
- 自动化弥补安全漏洞:自动化运行周期,及时发现并修复安全漏洞。
- 一流的补救措施:提供简单易用的分步说明,通过带有执行措施的情报解决最关键的问题。
产品架构与部署
是德科技Threat Simulator的产品架构包括:
- 基于Web的客户端界面:用于配置、运行和识别安全状况的偏差,并推荐补救措施。
- 仿真的“Dark Cloud”实体:可按需启动代理,模拟网络中的威胁参与者,如恶意网站、外部黑客、C2C等。
- 部署在网络上的Agent代理:以Docker容器格式部署,在网络中充当模拟器“目标”或“攻击者”,实现从内部到外部、外部向内和横向移动的攻击模拟场景。
评估对象与阶段
Threat Simulator的评估对象包括网络和终端安全:
- 网络安全:评估对象包括WAF、IPS、GAV、DLP、URL Filtering、DNS servers、C2 servers、Malicious Hosts、Management Web Portal、NGFW等。
- 终端安全:评估对象包括HIPS、HIDS、DLP和AV。
评估阶段分为三步:
- 基于ATT&CK框架的安全测试:覆盖12项战术的终端安全测试、网络安全测试和完整APT攻击测试。
- 及时修复发现的问题:通过推荐引擎和一站式工具集成(包括IBM、Splunk、CheckPoint、Cisco、Fortinet、Palo Alto Networks、Juniper等)及时修复发现的安全问题。
- 持续验证:定期更新攻击库,自动化周期运行,持续收集证据,降低配置变更带来的风险评估。
评估案例
以nJRAT Dropper为例,展示了从用户下载恶意文件到建立通信并外发数据的完整攻击过程,包括防火墙注册表修改、TeamViewer绕过等步骤。
应用场景
Threat Simulator适用于多种场景:
- 日常安全运维:SoC团队和企业安全运维。
- 周期性的安全演练:安全培训、攻防演练、网络靶场。
- 安全服务等保/护网行动:主动网络评估和加固。
行业平台
安世加专注于网络安全行业,通过互联网平台、线下沙龙、峰会、人才招聘等多种形式,致力于创建亚太地区最好的甲乙双方交流、学习的平台,为培养安全人才、提升行业整体素质、助推安全生态圈的健康发展而努力。
