趨動資訊進化的先鋒 -
最懂 VMware / NetApp 的頂尖專業團隊

2017年開始，Gartner就開始關注入侵與攻擊模擬技術 (Breach and Attack Simulation, BAS)，認為未來3-5年將成為最火爆的安全技術。隨著時間的推移，BAS在國外已逐漸獲得重視，但在國內資安市場而言，還屬於初期推展階段，從2022年Gartner發佈的資安維運技術成熟度曲線中，可以發現 BAS 位於最受期待技術的位置，是Gartner最關注的八大安全技術趨勢之一。

什麼是入侵與攻擊模擬

根據Gartner的定義，BAS是通過不斷的模擬針對不同資產的攻擊，驗證安全防護機制的有效性，藉由自動化模擬外部和內部、橫向移動和資料洩露等威脅向量，使企業更好地了解其安全薄弱點。BAS是對紅隊演練、滲透測試的補充，但並不能完全取代二者。BAS技術通過部署軟體工具、虛擬機、雲端平台和其他手段來執行模擬威脅，進而提供模擬攻擊組合的能力來驗證企業的安全防禦體系的有效性。

入侵與攻擊模擬跟傳統安全防禦有什麼不同

BAS譯為入侵與攻擊模擬，顧名思義，這是一種以攻促防、驗證安全、提升安全的資安維運做法。

首先，這種思維與傳統安全防禦的邏輯有明顯區別。傳統安全一般是以經驗模型為指導，企業防護建設基本都依賴於資安設備進行防守，對資安維運缺乏整體性的評估方法。 BAS則是從攻擊者的角度出發，通過持續進行的威脅和攻擊模擬，讓企業從實戰中找出網路與系統中存在的疏漏和失效點，從而對現有資安設備、人員資安意識、資安防禦體系的有效性等進行量化評估。

入侵與攻擊模擬需具備哪些能力

入侵與攻擊模擬要能發揮其強化安全防護的效益，天鉞科技建議您評估下列幾項能力，做為您在選擇入侵與攻擊模擬服務時的參考依據。

能力1：對於外部暴露面的探測能力

能夠有效的了解到目標網路暴露出來的IP、Port Number等資訊。

能力2：對於漏洞的基礎掃描能力

能夠通過掃描技術發現可能的漏洞風險。

能力3：具備外部網路直接做Web滲透和邊界突破能力

通過自動化的POC/EXP程序對漏洞進行驗證和利用，完成外網安全評估。

能力4：具備對內網安全的評估能力

能夠在內部網路橫向移動，完成後滲透階段的內網安全評估。

能力5：具備對資安設備Policy有效性的驗證能力

能夠通過模擬不同的旁路攻擊方式，評估資安設備在目前 Policy設定下，面對實戰攻擊時，防禦能力是否有效。

能力6：具備週期性的自動化能力

能夠按照企業需求，定期持續進行評估。

能力7：具備圖形化展示能力

能夠簡單直覺的把整個過程以圖形化方式呈現出來，讓高階主管也能一眼看清防禦機制有效性情況。

導入BAS服務後，除了驗證資安基礎架構、安全規劃和防禦技術是否確實執行，也讓企業能直覺了解缺乏的項目所在，明白資安狀況方面現有的差距，透過結果來採購與部署適合的防護設備，有效減少資安層面上的重複或錯誤投資，在網路安全越來越實戰化的今天，BAS必將在很長一段時間內成為資安長 (CISO) 必選的技術解決方案。