2022年12月8日,硅谷知名网络安全投资基金Ten Eleven Ventures宣布,对一个专注于「安全有效性验证」方向的新种子Interpres 投资8.5M美金。
旋即,Interpres便被CSO Online列为2023值得关注的网络安全初创公司之一。Interpres提供了一个让客户能够更好地管理其「防御面Defense Surface」的平台,通过持续的威胁分析识别网络防御中的漏洞和低效之处,展示客户当前安全工具的能力,使安全团队能够通过数据驱动来改善安全态势,企业的安全性能变得可理解和可证明。
随着企业安全建设的发展,企业部署了繁多复杂的安全产品、平台、规则策略。但与此同时,在各类攻防对抗、红蓝演练中依然会暴露出各种问题,导致边界被突破、权限被获取,数据被泄露,靶标被拿下甚至真实的发生信息安全事件,严重影响生产业务安全。根据Gartner的调查,97%的入侵行为发生在已经部署适当网络安全防护系统的公司,99%的攻击行为是使用已知并存在多年的攻击方式或者漏洞,95%的绕过安全防护设备的入侵攻击行为是因为错误的配置造成的。为此,面对当前已部署的各类安全防护措施,我们需要回答:
已部署的各类安全防护措施是否有效,是否确实在正确的按照规则策略执行防御和检测动作。是否可做到“应检尽检,应告警确实告警”。
已部署的各类安全防护措施实际效力如何?实际防护或检测效力达到什么水准?有什么检测缺失点?是否存在运营使用中“低级错误导致的高级威胁”?
通过与近百家金融、央企、制造业等机构的沟通和实践,我们认为安全运营中最大的困扰是安全防护必然存在失效情况,已部署的安全措施可能无法按照预期起到应有的防护效力。如何解决安全设备有效性的问题?在应对安全设备数量和安全日志告警急剧增多的同时,如何确保安全人员工作质量的稳定输出?需要引入一套新的机制,实现对已部署的各类安全防护措施,全面的验证和持续监测评估。做到:
常态化运营中,已部署的安全防护措施经常是既定的。面对已知的攻击手法和漏洞利用等,我们需要确保已部署的各类安全防护措施100%有效,充分发挥其应有的防护检测能力。
面对已知的最新的攻击,我们需要有一套机制,实现大规模、自动化、全覆盖的对企业当前多网域复杂部署的安全防护措施进行验证,取代人工搭建环境、单点验证等方式。及时掌握和了解最新的防护检测情况,有针对性的采取应急响应措施。
攻防对抗是交替迭代螺旋上升的过程,时刻都会有新型的攻击、绕过、漏洞利用的出现。面对新型的攻击,我们需要具备实时跟踪、工程化技术验证的能力,对既定的安全防护体系进行验证,及时掌握防护态势,为安全运营全局提供重要数据支撑。
如何评估当前安全体系建设的成熟度和有效性,是近年来国内成熟企业中CSO们开始关注的一个话题。「自动化安全风险评估ASRA」和「自动化攻击模拟BAS」作为国内新兴的赛道,其中的许多明星初创厂商也开始积极响应CSO的这一意识转变,为当前甲方安全体系的建设有效性和未来能力提升,提供辅助评估的自动化平台和配套的知识与工具。
目前,经过几年的发展,国外BAS技术已经相对成熟,在2021年Gartner发布的安全运营技术成熟度曲线中,BAS仍处于高市场预期的热门赛道。近两年,国内BAS厂商也不断涌现,随着技术的不断成熟,BAS未来或将成为主流的安全风险检测技术。
简单来说,BAS技术主要是为企业和机构提供持续的安全防御体系评估能力。BAS整个体系分为管理中心和模拟器两部分。
所有攻击模拟行为的管理调度和展示中心。
部署在企业网络各个区域里,作为攻击的发起或被攻击的一个端点,通过各种模拟器的组合,覆盖各种攻击场景下的攻击模拟测试。
例如:可以针对互联网边界上的WAF进行针对性的攻击测试,也可以对从办公终端到业务服务区、内网数据核心区这样完整的APT攻击链进行模拟测试。
1、红队安全的预模拟阶段通常是最漫长和最重要的部分。首先需要考虑多久执行一次红蓝对抗它们可以每年、每六个月、每季度、每月或其他频率举行一次,而且这种红蓝队测试需要安排大量人员,那么时间、人员、金钱上会消耗大量成本。如果通过BAS进行ATT&CK模拟入侵,这样在人员、时间、金钱上可以节省很多成本。
2、在红蓝对抗中是有规定靶标资产,实际的对抗攻击需要不断的去探索下一个突破口,这难免会探测到我们靶标以外的资产,BAS可以通过下定点的方法,P2P进行攻击。
3、随着数据安全法的发布,数据安全也成为重点关注问题,在ATT&CK攻击时可能会导致我们的凭据和数据的泄漏,BAS可以在内网中部署运行,这样可以避免数据泄漏的情况。
4、公司部署大量安全设备,进行模拟攻击可以来检验安全运营的有效。因为安全系统需要不断升级以应对新的和高级的安全威胁,并且必须定期对这些升级后的系统进行测试,来检验它们是否甚至可以对抗潜在的网络安全威胁。
5、随着组织迁移到云或考虑替代本地基础架构,作为一项新技术,bas可以部署到大多数基础设施或网络段。
基于对众多企业用户的研究和调研,我们认为BAS在安全运营中的应该具备和做到“四化三可”从而实现最佳落地实践。
真正以攻击者视角对当前已部署的各类安全防护措施模拟攻击验证,检验当前状态下各类防护能力的实际有效性;
基于不同漏洞利用、攻击工具、攻击手法等实现对纵深防御不同场景下的安全防护验证,实现体系化的全局验证和掌握;
与安全运营高度融合,通过常态化的安全有效性验证先于攻击者发现安全能力薄弱点,缩短问题存在时间窗,最终实现稳定、高水准的安全防护态势;
上述所有的实现,都应该基于自动化的方式来实践,不需要额外的专人投入,通过自动化的方式实现攻击场景构建、任务调度、事件日志获取与分析评估,最终实现全自动化的验证和结果输出;
操作详情可回溯、可审计、可复测,所有验证数据可量化、可视化、可度量给出安全全貌,指导安全运营投入,让安全投入有的放矢,回报可见,安全建设资金高效利用可持续;
通过平台持续跟踪和更新,快速上线最新的、热点高危漏洞利用和攻击验证场景用例,及时对全局安全措施实现全覆盖的自动化验持续验证,确保安全防护措施有效且处于稳定状态;
安全有效性验证作为安全运营的重要组成,全流程具备可运营特性,基于各类攻击场景、防护措施、验证数据实现自身可运营的验证闭环。
BAS作为一种不会对企业真实业务环境造成影响的无损检测评估技术,在以下场景中被广泛应用:
通过自动化的攻击模拟帮助企业持续评估整体的网络安全防御态势,及时发现安全控制中存在的策略问题或者防护漏洞,提升安全可见性和能见度,帮助安全团队持续改善企业的网络安全态势。
BAS可以作为红队工具包,在攻防演练场景、SOC训练中,模拟特定的攻击者,对特定或者全局网络进行模拟攻击测试,以评估企业安全团队是否能发现和响应特定的攻击行为,提高企业对入侵攻击的响应和处置能力。
BAS可以针对等保2.0中提及的相关网络和通信安全、设备和计算安全、应用和数据安全、集中管控能力等有效性进行评估,验证有效性、安全配置与安全策略的一致性,评估安全管理制度的执行情况。
安全建设的初衷,就是希望能够防护资产、数据,对各类真实存在的威胁进行对抗和防护。但精细化运营后,我们往往困惑,已经建设的各类安全防护措施所产生的实际效果是否真的符合我们的预期?已部署的安全防护措施、策略可能无法按照预期起到应有的防护效力,例如安全设备升级后异常、日志丢失、设备性能不足、覆盖度不全、策略优化不足、告警延迟、封禁延迟等问题。这就需要引入一套类似BAS的技术体系,实现对已建设的各类安全防护措施和策略,自动化、全面化、持续化的进行效力的验证和确认,以缩短防护失效的时间窗口,降低威胁对抗的风险,帮助企业建立精细化安全运营能力。