入侵和攻击模拟(BAS)不足以验证安全性的四个原因

随着威胁范围和攻击面的扩大,以及远程工作模式的出现,BAS工具不足以真正验证安全性能。

入侵和攻击模拟(BAS)工具旨在确定安全防御手段是否能够检测并响应攻击。BAS通过模拟攻击场景来测试安全性能,并提供安全防御手段执行情况的分析。Gartner将BAS技术定义为“允许企业使用软件代理、虚拟机和其他手段,持续、一致地模拟针对企业基础设施的整个攻击周期(包括内部威胁、横向移动和数据外泄)。”

 

事实证明,对于需要及时了解特定安全防御手段执行情况的安全团队来说,BAS非常有用。然而,随着威胁范围和攻击面的扩大,以及远程工作模式的出现,BAS工具不足以真正验证安全性能。Gartner对BAS的定义意味着,这些工具是一种理想的测试选项,但它们缺乏在整个组织的安全基础设施中持续验证安全性能所需的关键功能——现在,公司需要持续评估其风险状况和运营能力。

 

入侵和攻击模拟工具在几个关键领域与安全验证不同。首先,它们是模拟而非真正的攻击,安全防御体系通常不会将其视为真正的威胁。此外,BAS缺少威胁情报的通知,安全团队无法准确定位到与测试最相关的威胁。以下是安全验证提供BAS所缺乏的功能的四个关键领域,这些领域使CISO及其团队能够全面了解人员、流程和技术的安全水平。

 

1.真正的攻击很重要

BAS所进行的模拟攻击是不完整的、不真实的,安全防御手段通常不会将其视为威胁。安全防御手段可能会“看到”模拟,但不会将其作为实际攻击发出警报,从而导致错误的安全感。相反,安全验证在整个攻杀链中执行模拟攻击,并能提供全面、准确的概览。CISO应当探索模拟真实攻击的验证解决方案,原因如下:

1) 在安全可控的状态下执行,真实的攻击能够提供在实际攻击发生时安全防御手段执行结果的证据,从而使CISO掌握结果。

2) 攻击模拟提供一个跨整个攻杀链的攻击前和攻击后的情况,全面识别所有漏洞。

3) 模拟或反向工程的二进制文件将导致机器学习和人工智能学习错误的行为,致使其学习无效。

 

2.跨安全基础设施的测试提供精准画面

BAS解决方案可以部分集成,但不支持全套系统,也就是说它们只能提供公司IT环境中发生的部分情况。例如,许多BAS提供商只支持终端安全产品的测试,不能判断其他威胁向量是否为入口点。这就像只通过研究一个人午餐吃什么来评估他的健康程度。

为了全面了解安全防御手段的有效性,CISO应该寻找支持在整个攻击生命周期和整个安全基础设施(包括网络、电子邮件应用程序、云和终端)中进行测试的安全验证解决方案。通过这种方式,他们获得了对防护效果和脆弱性存在的整体理解——就像观察一个人的总体饮食、日常锻炼和其他习惯可以全面了解他或她的整体健康状况一样。

3.完整的攻击库以识别相关威胁

测试解决方案基于供应商攻击库中的内容,缺乏足够的可靠性。BAS解决方案不能非常及时地提供关于攻击者正在使用的最新战术和技术的可靠情报,因此安全团队无法确定哪些威胁攻击者是最重要的测试对象。此外,BAS工具缺乏对攻击框架的支持,如MITRE ATT&CK和Kill Chain,这也限制了测试能力。总的来说,缺乏威胁情报可能会产生不一致的测试结果,并导致对组织真实安全态势和风险状况的不准确认识。

相反,CISO们应该考虑安全验证,它能提供当前最新的威胁情报。基于完整的攻击行为、战术、技术和程序库,安全团队可以根据针对某个组织或行业的攻击数据,优先测试最相关的攻击威胁。

 

4.监测环境漂移加强防御

随着系统的添加或重新配置、新设备进入网络或自动引入补丁和升级,IT环境在不断变化。这些更改可能会影响安全防御手段的行为方式,但如果没有对IT环境漂移的持续监控,安全威胁可能会在安全团队不知情的情况下发生。BAS工具不执行此类持续监控和警报,因此团队无法根据需要进行补救。最终可能会降低安全基础设施的健康状况。

在评估安全验证时,安全团队应该确保与IT环境相关的三个关键功能:

1) 对环境漂移自动、连续的监测;

2) 当检测到变化时,能够提醒相关人员;

3) 为如何补救这种情况提供建议。

 

将风险降至最低并提升安全运营能力

真正的安全验证需要具备上述能力,以保证测试结果的准确性和完整性。没有它们,公司就不了解自己的安全态势,将自身置于攻击威胁中。与BAS不同,安全验证是自动化的、连续的、全面的和整体的,并基于及时的、可采取行动的威胁情报——所有这些都为CISO和企业领导层提供了跨技术、流程和人员的安全防御有效性的量化数据。这些能够有效将公司的风险状况降至最低,并有助于保持安全运维能力。