关于BAS那点事儿

BAS那点事儿

笔者iiusky之前的工作有涉及到BAS相关的工作内容，借此机会也收集和了解了很多BAS相关的内容，了解到国内很多人不了解BAS，以及对于BAS涉及较少，逐写出此篇文章来普及BAS相关知识。如文中有错误或描述不准确的地方，还望大家一起讨论指正（sky#03sec.com）。

什么是BAS

前言

在近些年来，得益于国家大力推进安全领域的一些法律法规和各种规定条款，不少企业的整体安全能力有很大提升，包括但不限于采购了很多安全控制设备，或花重金招兵买马，但是在很多情况下，有不少企业采购了安全设备，没有进行过升级，或者部署的位置有问题，导致了很多类似这样的问题：

“我买了安全控制设备了啊，怎么他们渗透测试还能攻击进来？”
“安全部门怎么感觉天天啥事没有，就知道找开发的麻烦？”
“听领导说安全最近没什么产出啊，会不会他们要被裁掉？”
“安全看的很简单啊，天天就看看日志，然后划划水就领工资了！”
“这垃圾安全控制设备为什么黑客都攻击进来了连个告警也没有？”
“又要向领导汇报安全工作进度了，这些指标数据不太好弄啊……”
………………
尤其是在某些企业，遭到了APT攻击、勒索病毒、挖矿病毒的侵入，安全团队只能在事后去进行分析清理，但是很多APT组织或者勒索病毒、挖矿病毒，很可能已经国内外一些安全厂商将其分析完毕并向社区推送了相关的威胁情报信息，又比如某个APT组织被某个厂商爆出来后，那么在第一时间，只有该厂商的安全控制设备规则已经准备就绪，其他厂商也会及时跟进，然后推送给商业用户进行升级，升级完成后，虽然厂商说已经支持检测或防御，但是安全团队很难去验证这一点逻辑，或许只能通过扫描器进行部分验证，这时候就可以了解下最近几年国外大范围流行BAS技术，它可以根据用户实际情况，模拟相关的所有攻击流程，或者根据一些最新的可靠的威胁情报，自动化在当前网络环境中模拟攻击，以此来印证安全控制设备是否已经支持防御或监测该类型的攻击，在国外很多大型公司，都已经中常态化的使用BAS技术来辅佐安全团队，这可以可以从侧面印证了BAS技术确实可以实实在在的解决一些在安全行业的痛点，而不是新瓶装旧酒。

简介

BAS，全称为Breach and Attack Simulation，中文直译过来是入侵和攻击模拟，该技术主打的是可以发现当前网络中的攻击路径或者漏洞，类似于连续的自动化渗透测试，但是区别于自动化渗透测试的单一性，该技术能在进行测试漏洞的同时，还可以验证相关安全控制设备的策略有效性。在大部分情况下，BAS可以理解为“对当前网络所部署的安全控制设备进行有效性验证”，该有效性验证包括但不限于以下几点：

针对最新的一些漏洞，验证所部署的安全控制设备是否能防御或检测到。
针对最新的攻击手法，验证所部署的安全控制设备是否能防御或检测到。
针对安全控制设备升级后，验证其安全控制设备是否能真实防御或检测到相关攻击。
针对一些精准的威胁情报，如针对新爆出有关APT组织的TTPs或者IoCs，所部署的安全控制设备是否能防御或检测到。
针对APT组织或黑客组织的攻击手法进行链路模拟，验证所部署的安全控制设备是否能防御、检测、识别到。
……
BAS平台在除了可以对当前网络所部署的安全控制设备进行有效性验证外，另一个特性应该是可持续的有效性验证，所谓的可持续有效性验证，可以理解为在部署好或者规划好预期的模拟路径后，还要支持周期性的进行有效性验证，BAS平台输出的验证结果应可作为定期安全评估报告中的一部分，且带有相关的修复建议，其目的应