随着云桌面、边缘计算和5G等新兴技术的广泛应用，当前IT环境日趋复杂，导致网络环境复杂度剧增，进一步放大了网络安全的暴露面，无形中提高了遭遇未知入侵的风险。因此，网络安全在企业数字化转型的道路上显得尤为关键。尽管企业已部署了多样化的安全防御措施和工具，但网络攻击依然层出不穷，危害不断。

        对于企业而言，全面审视企业整体安全状况是一项艰巨的任务。传统的测试方法，如安全测试和蓝队服务都存在局限性。为了确保安全机制持续有效、安全能力更为全面、威胁抵御更为迅速和广泛覆盖，需要采取更为常态化的安全验证策略。在攻防双视角下，引入BAS（Breach and Attack Simulation，入侵与攻击模拟系统）成为企业持续验证防御能力的有效方法。通过模拟攻击手段，BAS能够帮助企业更好地预防未知风险，全面增强安全运营能力。

什么是BAS？

        BAS是一种以攻击模拟为核心的安全测试方法，通常采用 MITRE ATT&CK 和 Cyber Kill Chain 等框架，通过模拟真实的攻击手段验证安全防御的有效性。其攻击手段覆盖网络杀伤链，包括网络钓鱼邮件、端点和网关攻击、网络渗透、横向移动、WAF、威胁防护、终端安全、数据安全、数据泄露、恶意软件、勒索软件等。通过BAS的全方位模拟测试，以测试防御系统是否能够有效抵御这些威胁。企业网络安全团队能够深入了解当前系统的安全现状，精确识别存在的安全薄弱点，还可利用这些工具来计算总体风险评分，并对其进行优先级排序和补救，分析现有安全控制措施的性能，从而保护关键资产并降低风险。

        从技术结构和框架来看，BAS由管理端和模拟端两个主要部分组成。在管理端，BAS的关键能力是编排和调度能力，例如进行攻击方式、攻击路径的编排，以及根据实际攻击执行情况的动态调度等；模拟端的核心能力则是通过Agent构建1：1的仿真环境，并执行具体的模拟攻击。

        总的来说，BAS功能是攻击（模拟真实威胁）、可视化（攻击路径）、优先级（为可利用薄弱点分配严重程度或临界等级）和补救（解决差距）。最理想的是，BAS作为一个闭环服务来完成这些活动，允许IT/安全团队评估环境中的威胁指标和攻击行为、未受保护的资产、错误配置、人为错误等。有了这些信息，安全人员就可以采取建议的修复措施来弥补差距、修复错误配置、加强凭据管理等等。

BAS应用场景

        从国际范围来看，BAS技术目前已经有了较为成熟的应用。2024年，Global7 Information发布《2024年自动化BAS全球市场报告》，BAS市场规模从2023年的5.1亿美元扩大到2024年的7亿美元，复合年增长率高达36.8%。对于目前发展的BAS市场，BAS技术的主要作用是帮助明确和验证复杂安全解决方案的有效性。

        BAS技术涵盖了多种用途，可适用于多种行业企业的不同应用场景中，用户可根据实际情况选择合适的攻击模拟场景，主要包括以下方面：

        1）安全态势和准备评估

        评估系统的防御能力，具备攻击路径映射的功能，可绘制攻击路径，了解潜在的攻击路线和攻击者如何入侵、传播攻击以及可能获取哪些数据。

        2）持续安全控制验证和有效性

        不断验证安全控制的有效性，确保安全控制能够有效抵御已知和未知的攻击，通过模拟攻击测试每个控制点的性能。

        3）补充自动化渗透测试

        自动执行渗透测试以发现系统漏洞，渗透测试通常无法全面评估系统的安全性。BAS技术可以自动化执行大量攻击场景，节省时间并提高频率。

        4）持续自动化红队（CART），攻防演练ISOC演练

        BAS可以自动化模拟攻击场景，评估系统安全性。作为红队工具包，在攻防演练场景、SOC训练中，模拟特定的攻击者，对特定或者全局网络进行模拟攻击测试，以评估企业安全团队是否能发现和响应特定的攻击行为，提高企业对入侵攻击的响应和处置能力。

        5）安全合规评估

        BAS可以针对相关网络和通信安全、设备和计算安全、应用和数据安全Q、集中管控能力等有效性进行评估，验证有效性、安全配置与安全策略的一致性，评估安全管理制度的执行情况。

BAS产品工具

        传统的防御措施和一次性的渗透测试现在已经难以满足企业日益增长的安全需求。而BAS是一种持续化、自动化的安全运营工具，可帮助企业验证其防御体系的有效性，从而在全球网络安全市场中获得快速发展。通过在网络中部署BAS工具，用户可以为其数字化业务发展增加更多的安全性。

        一些国际知名的BAS产品都会包括防御和响应评估功能。这类功能可以帮助安全团队了解防御措施是否有效中断攻击链条，并通过模拟响应来评估事件管理的效果。另外，很多BAS产品与SOAR（Security Orchestration, Automation, and Response，安全编排自动化与响应）平台集成，支持自动化响应，通过模拟事件响应的自动化流程，验证SOC（Security Operations Center，安全管理中心）的效率。

        具体来说，BAS工具可以为企业的数字化发展提供如下好处：

1）使企业能够了解攻击事件的各个阶段；

2）持续模拟网络攻击；

3）衡量已部署的安全控制措施；

4）改善网络安全态势；

5）增加网络可见性；

6）提供对攻击者的自动化和持续监控；

7）在横向移动的端点上模拟恶意软件攻击；

8）识别漏洞并确定修复步骤的优先级；

9）更快地规划安全投资；

10）通过合并红蓝团队技术提供持续的覆盖；

11）风险管理；

12）提供对攻击路径的感知；

13）发现导致关键资产暴露的故障。

BAS发展趋势

        目前，BAS作为一种不会对企业真实业务环境造成影响的无损检测评估技术，正逐步成为网络安全管理风险的发展新趋势。在网络安全威胁的不断演化和复杂化的今天，BAS在网络安全防御中将扮演更加重要的角色。面对不断涌现的新型攻击手段，如AI驱动的恶意软件、复杂的供应链攻击以及针对云基础设施的APT攻击，BAS必须不断创新以适应这些新挑战。

        未来，BAS除了解决如更简化的产品部署以降低成本、增加定制和集成功能、减少验证不一致、改进报告功能、提供实战型专家的指导和服务等问题外，还将深度融入人工智能与机器学习技术，旨在实现更高的智能化、自适应性和全面覆盖。这种集成将赋予BAS更加精准的能力，以模拟攻击者的行为模式，识别潜在的安全漏洞，从而为网络安全防御体系提供更高层次的智能化支撑。不仅如此，BAS还将适应不断变化的威胁模式，并前瞻性地预测攻击者的下一步动向，确保网络安全的持续稳固。