攻防模拟工具选购指南:提升企业安全防护能力

本文详细介绍了Breach & Attack Simulation (BAS) 工具的功能、市场趋势及主要供应商,帮助企业选择合适的安全测试解决方案,提升网络安全防护能力,涵盖自动化攻击模拟、MITRE ATT&CK框架集成及AI技术应用。

攻防模拟工具选购指南

Breach & Attack Simulation (BAS) 工具并不便宜。因此,选择正确的产品至关重要。本指南将助您一臂之力。

Breach & Attack Simulation 工具可揭示您的安全控制措施的有效性(或无效性)。Roman Samborskyi | shutterstock.com

BAS 解决方案帮助企业了解其安全水平。这些工具通过自动化测试特定威胁向量来实现这一目标,通常基于 MITRE-ATT&CK 或 Cyber-Killchain 框架。BAS 产品可模拟以下攻击:

  • 网络攻击和渗透尝试
  • 横向移动
  • 网络钓鱼
  • 终端和网关攻击
  • 恶意软件和勒索软件攻击
  • 内部威胁

Breach & Attack Simulation 的定位

BAS 可以补充红队演练、渗透测试或攻击面评估 (ASA),但与这些措施有明显区别。想象您的企业是一栋别墅:

  • 在红队演练或渗透测试中,您聘请某人闯入您的庄园并清空您的保险箱。目标是揭示潜在的入口点。
  • 而 BAS 更像是检查所有门锁的功能,并确保安装的安全摄像头在识别人员时能做出相应反应。目标是确保所有控制措施按预期工作。

BAS 专注于企业安全控制(如 EDR),而攻击面评估则检查所有潜在的漏洞和攻击向量。

分析公司 Gartner 将这些技术归类为更广泛的“暴露管理”类别。据分析师称,BAS 解决方案主要在受严格监管的行业(如银行和保险环境)中需求旺盛,这些行业面临日益增长的合规要求。安全供应商 Sygnia 的对抗战术总监 Ilja Rabinovich 证实了这一评估:“BAS 产品通常价格昂贵,预算有限或流程环境受限的小型企业不会购买。”

Breach & Attack Simulation 工具市场

Gartner 预测,到 2026 年,超过 40% 的企业将依赖整合平台或托管服务提供商进行网络安全验证测试。

BAS 供应商 landscape 呈现多元化:独立供应商、大型安全公司和服务提供商都希望向客户推销其 BAS 解决方案。Constellation Research 的分析师 Chirag Mehta 认为市场将进一步整合:“如果您有一个可以模拟攻击的工具,下一个逻辑步骤就是防止这些攻击。但这需要整合一系列不同的工具,这并非易事。”

在这一领域(以及所有其他 IT 安全领域)的一个增长趋势是生成式 AI (GenAI) 的应用。Forrester Research 的分析师 Erik Nost 对这一发展持乐观态度:“我们可能会首先在用户界面领域看到生成式 AI 的应用。能够以酷炫的方式与数据交互是新的 GenAI 用例。”

该分析师还认为,AI 未来可能基于数据或对用户或公司最相关的攻击类型来建模威胁。他补充道:“生成式 AI 还可以用于帮助企业理解 BAS 发现的问题,设定相应的优先级,并提出具体的补救措施。”

BAS 解决方案应具备的功能

用户在选择 BAS 工具时应注意以下重要功能:

  • 代表性的攻击向量,以模拟尽可能广泛的与企业相关的攻击。
  • 基于 MITRE ATT&CK 等框架的现实攻击场景,类似于真实攻击者的行为。
  • 可定制的场景,以测试特定的基础设施方面。
  • 自动化测试,实现定期高效的模拟,而不影响运营或需要额外人力资源。
  • 详细的报告和分析,以解释测试的重要性并识别需要改进的领域。
  • 可扩展性,以覆盖当前企业环境及未来的发展。
  • 混合生产环境的测试能力,以在真实条件下评估控制措施。
  • 易于使用和简单的部署选项,以及与现有安全工具和平台的集成能力。
  • 专家支持——特别是如果您不熟悉 BAS 工具或没有具备相关经验的大型安全团队。
  • 合适的成本结构,因为 BAS 供应商的定价模式通常各不相同。价格结构应与用例相匹配。

主要 BAS 工具供应商

以下我们来看看 BAS 领域的主要供应商及其解决方案。选择基于 Gartner Peer Insights 排名中的客户评论以及 Expert Insights 专家的评估。

AttackIQ

据 Expert Insights,AttackIQ 的核心模拟平台根据 MITRE-ATT&CK 框架复制攻击者的战术、技术和方法。该公司的 BAS 产品分为三个选项:

  • 托管平台“Ready!”旨在帮助企业更快、更轻松地实现一致的安全验证策略。
  • 无代理测试服务“Flex”按需运行,采用按需付费或月/年订阅模式。
  • “Enterprise”是一个全面的共同管理服务。

AttackIQ 在测试基于 ML 和 AI 的网络安全组件方面也享有盛誉。据自称,该公司是唯一提供自服务和全服务解决方案的 BAS 供应商。未来,人工智能还将进一步帮助 Attack-IQ 客户自动识别和修复安全漏洞。

Cymulate

Cymulate 不仅是 Expert Insights 评出的持续威胁暴露管理领先供应商,也是 Gartner Peer Insights 中客户评价最佳的供应商——这得益于良好的用户体验。Cymulate 的“Breach and Attack (BAS)”解决方案以 SaaS 模式提供。对于有数据隔离需求的企业,还提供私有租户选项。与 AttackIQ 一样,Cymulate 使用 MITRE ATT&CK 框架作为基础。

据供应商称,目前设置集成并部署其 BAS 工具需要大约三到四周时间。Cymulate 计划未来借助生成式 AI 将这一时间缩短到几分钟。但该供应商的 GenAI 计划还不止于此:该技术未来应能自动从数千甚至数十万种不同攻击场景中制定缓解策略,并向安全团队解释如何实施这些策略。据 Cymulate,GenAI 功能预计在 2024 年 10 月底全面可用。

Fortinet

在客户评价方面,Fortinet 的 BAS 产品无法与前两个产品完全匹敌。但“FortiTester”将 BAS 与网络性能测试相结合,因此提供了一个全面的解决方案。

该 Fortinet 工具基于 MITRE-ATT&CK 框架模拟多种攻击类型,并据 Expert Insights 支持基于 CVE 的 IPS 测试以及 DDoS 流量生成。

Mandiant

安全供应商 Mandiant 主要以其威胁情报服务闻名。该领域的专业知识也融入了其 BAS 软件解决方案“Security Validation”,从而与竞争对手区分开来。

Mandiant 工具支持 MITRE ATT&CK 框架映射、自动化警报以及环境漂移检测,并模拟真实世界的攻击场景。

NetSPI

NetSPI 在渗透测试方面已经声名鹊起。该公司还提供“Breach and Attack Simulation”BAS 解决方案,可以验证安全控制、识别检测漏洞和管理攻击面。NetSPI 的渗透测试专业知识尤其体现在全面支持上,如公司高级安全顾问 Derek Wilson 所承诺:“我们经验丰富的渗透测试团队将与您的 SOC 团队合作,帮助分类检测并采取预防措施。”

NetSPI 也计划未来通过生成式 AI 为 BAS 客户创造更多价值:得益于该技术,供应商的解决方案未来应能利用多个数据源,尽可能快地识别和优先处理必要的测试。此外,还计划提供基于特定行业威胁情报生成的 playbook,以及模拟动态攻击链以识别覆盖差距。

Picus Security

根据 Gartner Peer Insights,Picus Security 是客户满意度第二高的 BAS 供应商,并被分析师授予“Customers Choice”奖。据自称,Picus 拥有数百家全球企业客户,例如 Mastercard 或 ING 银行集团。

该供应商的“Security Validation”平台包括 BAS,还支持自动化渗透测试和攻击面管理,以及 SOC 优化和云安全态势管理 (CSPM)。Picus 也大力投资 AI,计划未来借助该技术提供更好、更快、更全面的个性化安全水平洞察。

Redscan

由于 Redscan 专注于托管检测与响应以及渗透测试,该公司提供了一种名为“FAST Attack Simulations”的实践导向 BAS 方法。该方法承诺为用户提供量身定制的攻击模拟结合咨询服务,以支持后续步骤。

Reliaquest

供应商 Reliaquest 因其安全平台“GreyMatter”在 2023 年被 Gartner 在“托管检测与响应”类别中授予“Customers Choice”奖。该解决方案在中等规模企业中特别流行。该平台的一个功能称为“Verify”,实现 BAS。

Reliaquest 的 BAS 解决方案承诺为用户提供全面(策展的)攻击场景组合,以尽快获得相应结果。这些场景还根据最新威胁信息持续更新。该工具将确定的威胁覆盖与 MITRE ATT&CK 等安全框架进行比对。

但如果您考虑该供应商,请记住一点:为了独立验证安全措施的有效性,选择同一供应商处理 BAS 和 MDR 可能不是最佳主意。另一方面,用户也可能从这种集成中受益。

SafeBreach

专注的 BAS 供应商 SafeBreach 在 Gartner 的同行评审中也表现良好——这得益于其与其他安全工具的广泛集成能力。在知名客户方面,SafeBreach 也能以 Netflix、PayPal、Pepsi 和 Carlsberg 集团令人信服。

“SafeBreach”BAS 平台基于超过 25,000 种攻击方法测试现有安全控制的有效性,这些方法源自公司自有的“Hackers Playbook”。此外,供应商承诺能在 24 小时内将其平台更新以应对新出现的威胁。除了基于 MITRE-ATT&CK 框架的定制攻击模拟外,SafeBreach 解决方案还提供估算风险缓解措施预期成本的选项。

BAS 投资前的 7 个问题

Forrester 分析师 Nost 建议企业在开始 BAS 之旅时对其系统和控制措施有良好的概览,并避免“仓促行事”:“在您不知道要测试什么之前,也不应投入 BAS 工具。”

此外,建议用正确的问题向 BAS 工具供应商提问,以避免不愉快的意外。例如:

  • 您的产品如何确保安全控制范围内的检测能力得到改善?
  • 测试能否扩展并在生产环境中运行——而对客户没有重大影响?
  • 您针对最新威胁的研究努力如何?
  • 您多久更新一次威胁库?
  • 您能否通过示例演示模拟结果的呈现方式?
  • 您的平台是透明的还是仅支持黑盒测试?
  • 是否有本地或空气隔离部署的选项?

您想阅读更多关于 IT 安全的有趣内容吗?我们的免费通讯将安全决策者和专家需要了解的一切直接发送到您的收件箱。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次