洞見RSA202|入侵和攻擊模擬技術探索實踐

每年RSA大會都有一個主題，2022年大會的主題是“Transform”。說到轉型，全球疫情的大流行徹底改變了人們的生活和工作方式，線上教育、遠端辦公、網路直播等各種業務爆炸式增長，大量企業和組織也開始了自己的“轉型”之旅，將各種業務數字化並持續上雲。
當前IT環境、基礎設施雲化、容器化、微服務化的進一步發展，造成企業資產攻擊面不斷擴大，傳統的安全防禦建設需要不斷驗證、優化以應對更復雜的威脅環境。

越來越複雜的威脅環境

根據Check Point和Dimensional Research聯合釋出的調查顯示：全球71%的網路安全人員表示新冠疫情爆發以來，遠端辦公引發的安全威脅和網路攻擊正在不斷增加，這也導致安全管理和運維人員在安全防禦體系建設中面臨諸多挑戰。

不同視角下面臨的挑戰

傳統安全建設一般是以經驗模型為指導，企業防護建設基本都依賴於安全裝置進行防守，對安全建設缺乏體系性的評估手段。傳統的思維方式已經無法滿足當前網路環境下的安全建設需求。

綠盟防禦突破模擬評估系統BAS（NSFOCUS Protection Breakthrough Simulation Evaluation Assessment System）是綠盟科技結合多年的攻防實踐經驗和安全應用技術自主研發的新型安全產品。從攻擊者的角度出發，通過高度自動化、高安全性的方式持續進行端到端的攻擊和威脅模擬，讓使用者從實戰化的角度找出網路與系統中存在的安全問題，從而對現有安全裝置、人員安全意識、安全防禦體系的防禦有效性進行量化評估，並提供自動化評估報告，幫助安全團隊作出合理改進，在動態威脅態勢下更一致地保證客戶防禦體系的有效性。

BAS產品定義以及特點

以往安全產品更關注於對事中已產生威脅的檢測和監測。BAS在理念上進行轉變，通過事前攻擊模擬提前感知威脅風險，先於真正攻擊者做好企業防護加固，助力企業體系化地瞭解自身實戰安全能力指標，系統性評估實戰防護能力現狀。明確和加強企業在實戰攻防建設方面的提升方向和建設路徑，幫助客戶主動、有針對性的進行防禦加固，提升企業防護能力和安全運營效率。

在安全常態化建設和運營過程中，BAS可驗證、評估並持續優化安全控制系統的有效性，為系統安全能力的提升和安全運營的改進提供支撐和依據。

BAS產品核心工作流程

產品特點
專家積累，實戰出發
利用綠盟科技在攻防對抗、漏洞掃描、資產測繪等領域的深厚技術積累，模擬攻擊元件覆蓋多種高頻威脅場景，快速將安全積累轉化為產品能力，支援場景的規則升級和持續優化。

模擬技術，業務無損
在業務穩定、順暢開展的同時，為確保檢測安全防禦體系的有效性，BAS依靠攻擊鏈模型、ATTCK模型、威脅知識圖譜等理論模型模擬各種攻擊方式，通過部署目標節點來模擬真實資產脆弱性情況，從而確保模擬攻擊過程中不會對客戶業務系統造成影響。同時，BAS通過持續化的攻擊場景編排和週期性的策略配置，不間斷的觸發各類威脅事件，並對威脅事件的攻擊過程、攻擊鏈、ATTCK等資訊進行關聯分析，通過零入侵、無害化攻擊的方式評估實際系統的安全防護能力。

豐富的評估模型
為確保評估結果的準確性和全面性，BAS設計了攻擊有效性評估模型和防禦有效性評估模型：攻擊有效性評估模型從攻擊模擬角度進行評估分析，包括攻擊過程、互動過程、攻擊阻斷位置等，從側面驗證防禦系統能否防禦相應的攻擊工具或手段；防禦有效性評估模型從防護裝置與運營體系角度進行評估分析，通過對比防護體系的檢測與防禦日誌，分析運營體系對攻擊事件的處理效率，從正面驗證防護體系能否檢測並防護相應的攻擊。

全時段檢測
由於業務實時變化、資產實時變化，安全防護配置也隨之變化，因此對安全防護體系檢測也需實時進行，評估任務一經下發，將7*24小時進行攻擊模擬與結果回傳，實現全時段、週期性的自動化攻擊模擬。

風險量化、防禦優化
實現防禦效果視覺化、防禦弱點視覺化，並輸出可落地的運維結果，指導運維人員有針對性地進行改進和優化。

客戶價值
安全效果可度量
通過全面評估企業安全防禦能力，助力客戶以實戰化、自動化的方式持續驗證實戰中的常見安全問題和視覺化度量安全防禦效果，讓安全價值和防禦風險看得見。

持續防禦調優
通過持續評估精準定位企業安全防禦短板，幫助企業主動、有針對性地作出合理改進，提升企業安全防禦能力。

提升安全運營效率
輔助安全建設，以實戰化、自動化的方式持續評估系統防禦體系，提升企業安全運營效率，適應外部威脅的不斷變化。同時為企業安全投資建設、安全防禦體系優化等提供技術、決策支撐，變被動式防禦為主動防禦、常態化防禦。