入侵与攻击模拟（BAS）工具购买指南

入侵与攻击模拟（Breach & Attack Simulation，BAS）工具帮助企业了解自身安全水平。这些工具自动化测试特定威胁向量，通常基于MITRE ATT&CK或Cyber Killchain框架。BAS产品模拟以下攻击类型：

网络攻击和渗透尝试
横向移动
网络钓鱼
终端和网关攻击
恶意软件和勒索软件攻击
内部威胁

BAS的定位

BAS可以补充红队演练、渗透测试或攻击面评估（ASA），但与这些措施有明显区别。想象您的企业是一栋别墅：

红队演练或渗透测试像是雇佣某人闯入您的庄园并清空保险箱，目标是揭示潜在的访问途径。
BAS则是检查所有门锁的功能性，并确保安装的安全摄像头在识别人员时正确响应，目标是确保所有控制措施按预期工作。

BAS专注于企业安全控制（如EDR），而攻击面评估则检查所有潜在漏洞和攻击向量。

分析公司Gartner将这些技术归类为“暴露管理”。据分析师称，BAS解决方案主要在高度监管的行业（如银行和保险环境）中需求旺盛，这些行业面临日益增长的合规要求。安全供应商Sygnia的对抗战术总监Ilja Rabinovich证实了这一观点：“BAS产品通常昂贵，预算有限或流程环境受限的小型企业不会购买。”

BAS工具市场

Gartner预测，到2026年，超过40%的企业将依赖整合平台或托管服务提供商进行网络安全验证测试。

BAS供应商市场呈现广泛布局：独立供应商、大型安全公司和服务提供商都希望向客户推销其BAS解决方案。Constellation Research的分析师Chirag Mehta认为市场将进一步整合：“如果您有一个可以模拟攻击的工具，下一个逻辑步骤是防止这些攻击。但这需要整合一系列不同工具，这并非易事。”

在这一领域（以及所有其他IT安全领域）的一个增长趋势是生成式AI（GenAI）的应用。Forrester Research的分析师Erik Nost对此持积极态度：“我们可能首先在用户界面领域看到生成式AI的应用。能够以酷炫的方式与数据交互是新的GenAI用例。”

该分析师还认为，AI未来可能基于数据或对用户或公司最相关的攻击类型来建模威胁。他补充说：“生成式AI还可以用于帮助企业理解BAS发现的问题，设定相应优先级并提出具体的补救措施。”

BAS解决方案应具备的功能

用户在选择BAS工具时应注意以下重要功能：

代表性攻击向量，以模拟尽可能广泛的公司相关攻击谱系。
基于MITRE ATT&CK等框架的现实攻击场景，类似于真实攻击者。
可定制的场景，以测试特定的基础设施方面。
自动化测试，实现定期和高效的模拟，而不影响运营或需要额外人力资源。
详细的报告和分析，以解释测试的重要性并识别需要改进的领域。
可扩展性，以覆盖当前企业环境及未来发展。
混合生产环境的测试能力，以在真实条件下评估控制措施。
简单易用和部署选项，以及与现有安全工具和平台的集成能力。
专家支持——特别是如果您不熟悉BAS工具或没有大型安全团队与相应经验。
合适的成本结构，因为BAS供应商的定价模型通常不同。价格结构应与用例相匹配。

主要BAS工具供应商

以下我们看看BAS领域的主要供应商及其解决方案。选择基于Gartner Peer Insights的客户评论以及Expert Insights专家的评估。

AttackIQ

据Expert Insights，AttackIQ的核心模拟平台复制了攻击者的战术、技术和方法，符合MITRE ATT&CK框架。该公司的BAS产品分为三个选项：

托管平台“Ready!”旨在帮助企业更快、更简单地实现一致的安全验证策略。
无代理测试服务“Flex”按需工作，按使用量付费或按月/年计费。
“Enterprise”是一个全面的共同管理服务。

AttackIQ还在测试基于ML和AI的网络安全组件方面享有盛誉。据自称，该公司是唯一提供自服务和全服务解决方案的BAS供应商。未来，人工智能还将帮助AttackIQ客户自动识别和修复安全漏洞。

Cymulate

Cymulate不仅是Expert Insights眼中的持续威胁暴露管理领先供应商，还是Gartner Peer Insights中客户评价最好的供应商——这也得益于良好的用户体验。Cymulate的“Breach and Attack (BAS)”解决方案以SaaS模式提供。对于有数据隔离需求的企业，还提供私人租户选项。与AttackIQ一样，Cymulate使用MITRE ATT&CK框架作为基础。

据供应商称，目前设置集成并使用其BAS工具需要大约三到四周时间。Cymulate希望未来借助生成式AI将这一时间缩短到几分钟。但该供应商的GenAI计划还不止于此：该技术未来应能自动从数千甚至数十万种不同攻击场景中制定缓解策略——并向安全团队解释如何实施这些策略。据Cymulate称，GenAI功能应在2024年10月底全面可用。

Fortinet

在客户评价方面，Fortinet的BAS产品无法与前两个产品完全匹敌。但“FortiTester”将入侵与攻击模拟与网络性能测试相结合，因此提供了一个全面的解决方案。

据Expert Insights，Fortinet工具基于MITRE ATT&CK框架模拟各种攻击类型，并支持基于CVE的IPS测试以及DDoS流量生成。

Mandiant

安全供应商Mandiant主要以其威胁情报服务闻名。该领域的专业知识也融入了其BAS软件解决方案“Security Validation”——并以此与竞争对手区分开来。

Mandiant工具支持MITRE ATT&CK框架映射、自动化警报以及环境漂移检测，并模拟真实世界的攻击场景。

NetSPI

NetSPI在渗透测试方面已经享有盛誉。该公司还提供“Breach and Attack Simulation”BAS解决方案，可以验证安全控制、识别检测漏洞和管理攻击面。NetSPI的渗透测试专业知识尤其体现在全面支持上，如公司高级安全顾问Derek Wilson所承诺的：“我们经验丰富的渗透测试团队与您的SOC团队合作，帮助分类检测并采取预防措施。”

NetSPI未来也希望通过生成式AI为BAS客户创造价值：未来，该供应商的解决方案应能借助该技术利用多个数据源，尽可能快地识别和优先处理必要的测试。此外，还有基于特定行业威胁情报生成的剧本，以及模拟动态攻击链以识别覆盖差距的计划。

Picus Security

根据Gartner Peer Insights，Picus Security是客户满意度第二高的BAS供应商，并被分析师授予“Customers Choice”奖。据自称，Picus拥有数百家全球企业客户，例如Mastercard或ING银行集团。

该供应商的“Security Validation”平台包括入侵与攻击模拟，还支持自动化渗透测试和攻击面管理以及SOC优化和云安全态势管理（CSPM）。Picus也大力投资AI，并希望未来借助该技术提供更好、更快和更全面的个性化安全水平洞察。

Redscan

由于Redscan专注于托管检测和响应以及渗透测试，该公司提供了一种名为“FAST Attack Simulations”的实践导向BAS方法。该方法承诺为用户提供量身定制的攻击模拟结合咨询服务，以支持后续步骤。

Reliaquest

供应商Reliaquest因其安全平台“GreyMatter”在2023年被Gartner在“托管检测和响应”类别中授予“Customers Choice”奖。该解决方案在中等规模企业中特别流行。该平台的一个功能称为“Verify”，实现入侵与攻击模拟。

Reliaquest的BAS解决方案承诺用户一个全面的（策展的）攻击场景组合，以尽可能快地获得相应结果。这些场景还基于当前威胁信息持续更新。该工具将确定的威胁覆盖与安全框架（如MITRE ATT&CK）进行比对。

但如果您考虑该供应商，请记住一点：为了独立验证安全措施的有效性，选择同一供应商进行BAS和MDR可能不是最好的主意。另一方面，用户也可能从这种集成中受益。

SafeBreach

专用BAS供应商SafeBreach在Gartner的同行评审中也表现良好——这也得益于其与其他安全工具的广泛集成能力。在知名客户方面，SafeBreach也能以Netflix、PayPal、Pepsi和Carlsberg集团令人信服。

“SafeBreach”BAS平台基于超过25,000种攻击方法测试现有安全控制的有效性，这些方法来自公司自有的“Hackers Playbook”。此外，该供应商承诺能在24小时内将其平台补充新出现的威胁。除了基于MITRE ATT&CK框架的定制攻击模拟外，SafeBreach解决方案还提供估算风险缓解措施预期成本的选项。

BAS投资前的7个问题

Forrester分析师Nost建议企业以对其系统和控制措施的充分了解开始BAS之旅，并避免“仓促行动”：“在不知道要测试什么之前，不应承诺使用BAS工具。”

除此之外，建议用正确的问题询问BAS工具供应商，以避免不愉快的意外。例如：

您的产品如何确保安全控制范围内的改进检测能力？
测试是否可以扩展并在生产环境中运行——而对客户没有重大影响？
您针对最新威胁的研究努力如何？
您多久更新一次威胁库？
您能否通过示例演示模拟结果的呈现方式？
您的平台是透明的还是仅支持黑盒测试？
是否有本地或空气隔离部署的选项？

您想阅读更多关于IT安全主题的有趣文章吗？我们的免费通讯将安全决策者和专家需要知道的一切直接发送到您的收件箱。