入侵和攻击模拟（BAS）实践

Posted 2023-03-23 hhiollk

一、前言

    在2017年Gartner定义了BAS入侵和攻击模拟这个类别。在Gartner的定义中，BAS（Breach and Attack Simulation）是通过不断模拟针对不同资产的攻击，验证安全防护的有效性。

目前，经过几年的发展，国外BAS技术已经相对成熟，在2021年Gartner发布的安全运营技术成熟度曲线中，BAS仍处于高市场预期的热门赛道。近两年，国内BAS厂商也不断涌现，随着技术的不断成熟，BAS未来或将成为主流的安全风险检测技术。

二、背景

1、什么是Breach and Attack Simulation (BAS)？

    Breach and Attack Simulation (BAS)翻译过来就是入侵与模拟攻击Gartner 将 BAS 称为“顶级安全和风险管理趋势”，BAS 是一项新兴技术，它可以按需自动模拟企业的复杂网络来进行攻击，帮助测试企业系统的安全。它不像普通的自动化渗透测试工具，BAS可以自动模拟数据泄露、对组织电子邮件系统的网络钓鱼攻击、对端点的恶意软件攻击，甚至是网络内的横向移动等，它可以执行各种破坏和攻击模拟。

2、我们为什么要做BAS？

    a.红队安全的预模拟阶段通常是最漫长和最重要的部分。首先需要考虑多久执行一次红蓝对抗它们可以每年、每六个月、每季度、每月或其他频率举行一次，而且这种红蓝队测试需要安排大量人员，那么时间、人员、金钱上会消耗大量成本。如果通过BAS进行ATT&CK模拟入侵，这样在人员、时间、金钱上可以节省很多成本。

    b.在红蓝对抗中是有规定靶标资产，实际的对抗攻击需要不断的去探索下一个突破口，这难免会探测到我们靶标以外的资产，BAS可以通过下定点的方法，P2P进行攻击。

    c.随着数据安全法的发布，数据安全也成为重点关注问题，在ATT&CK攻击时可能会导致我们的凭据和数据的泄漏，BAS可以在内网中部署运行，这样可以避免数据泄漏的情况。

    d.随着近5年信息安全建设工作的有序推进，我司信息安全防御水平有较大提升，公司部署大量安全设备，进行模拟攻击可以来检验安全运营的有效。因为安全系统需要不断升级以应对新的和高级的安全威胁，并且必须定期对这些升级后的系统进行测试，来检验它们是否甚至可以对抗潜在的网络安全威胁。

    e.随着组织迁移到云或考虑替代本地基础架构，作为一项新技术，bas可以部署到大多数基础设施或网络段。

    f.防止第三方红蓝对抗人员不讲武德。

三、实践

1、确认风险点

    a.BAS 工具及其频繁的测试（包括突袭模拟）会增加安全警报的数量。这会使他们难以区分非常重要的警报和 BAS 测试生成的警报。

    b.模拟攻击触发的响应操作可能会使生产系统脱机或减慢操作速度。

2、针对风险点的防御措施

    a.记录好模拟的ip地址，在模拟之前提前报备ip，防止产生没必要的响应。

    b.在每个模拟的位置添加虚拟靶机,实现点对点无害模拟。

3、怎么去模拟

    对于场景也区分为内网场景和公网场景。

1）针对外网

    a.模拟操作系统、应用软件、Web应用、中间件、组件等漏洞利用场景，每种场景至少包含5种绕过手法。

    a.通过邮件、社交软件等平台模拟社工投递病毒样本的钓鱼场景，每种场景至少包含3种绕过手法。

2）针对内网

    a.模拟突破边界后上传webshell、内存马、后门等黑客工具等场景，每种场景至少使用3种绕过手法。

    b.模拟突破边界后建立隧道场景，至少使用3种协议建立隧道。

    c.模拟操作系统、应用软件、Web应用、中间件、组件等漏洞利用场景，每种场景至少包含5种绕过手法。

    d.使用内网扫描工具模拟内网端口扫描、资产发现、口令扫描、漏洞扫描等场景，每种场景至少包含3种绕过手法。

    e.模拟内网信息收集场景对内网的wiki，磁盘，浏览器、邮箱等进行上传或下载等信息收集动作，每种场景至少包含3种绕过手法。

    f.模拟内网钓鱼场景，至少使用3种以上内网钓鱼场景，每种场景至少包含3种绕过手法。

    g.模拟对代码仓库代码上传、下载、篡改等场景。

    h.模拟批量指令下发场景，至少使用3种命令绕过手法。

    i.至少模拟5种横向渗透攻击场景，每种场景至少包含3种绕过手法。

    j.模拟访问跨域场景。

四、最后

    每个公司都有自己不同的需求点，我这边仅是根据公司想要的需求进行模拟。首先是锁定需要模拟的安全设备，然后根据覆盖率，健康度，有效性三方面去开展。欢迎留言共享想法💡

渗透测试和攻防演练的区别

区别是一个是模拟，一个是实战。红蓝队对抗便是针对此方面的测试。红蓝队对抗是以蓝队模拟真实攻击，红队负责防御（与国外刚好相反），最终的结果是攻防双方都会有进步。

红蓝队对抗能挖掘出渗透测试中所没注意到风险点，并且能持续对抗，不断提升企业系统的安全防御能力。因内部技术人员对自身网络状况比较了解，所以一般红蓝队对抗会选用内部企业人员。

渗透测试，是通过模拟黑客攻击行为，评估企业网络资产的状况。通过渗透测试，企业及机构可以了解自身全部的网络资产状态，可以从攻击角度发现系统存在的隐性安全漏洞和网络风险，有助于进一步企业构建网络安全防护体系。

渗透测试结束后，企业还可以了解自身网络系统有无合法合规、遵从相关安全条例。渗透测试作为一种全新的安全防护手段，让安全防护从被动转换成主动，正被越来越多企业及机构认可。

参考技术A 渗透测试
渗透测试，通过模拟黑客攻击行为，评估企业网络资产的状况。通过渗透测试，企业及机构可以了解自身全部的网络资产状态，可以从攻击角度发现系统存在的隐形安全漏洞和网络风险，有助于进一步企业构建网络安全防护体系。渗透测试结束后，企业还可以了解自身网络系统有无合法合规、遵从相关安全条例。渗透测试作为一种全新的安全防护手段，让安全防护从被动转换为主动，正被越来越多的企业及机构认可。
在渗透测试前，安全团队需得到企业及机构的授权，才可以开始。同时，需要与企业沟通及确定攻击目标、范围、规则等。以上确定后，便开始渗透，主要分为几个步骤：信息收集、发现漏洞、漏洞利用。
入侵结束后，需要清除入侵痕迹，并将整理渗透过程中资产信息、漏洞信息、运用工具等信息，最终形成报告，汇报给甲方。
红蓝对抗
红蓝对抗便是针对此方面的测试。红蓝对抗是以蓝队模拟真实攻击，红队负责防御，最终的结果是攻防双方都会有进步。红蓝对抗能挖掘出渗透测试中所没注意到风险点，并且能持续对抗，不断提升企业系统的安全防御能力。
因内部技术人员对自身网络状况比较了解，所以一般红蓝对抗会选用内部企业人员。
在模拟攻击过程中，为了尽可能全面测试整个企业的网络系统，蓝队攻击手法会显得更复杂，而攻击路径的覆盖率更高。蓝队通过黑客视角，自动化的发起大规模、海量节点的实战攻击，以便测试红队在各个业务场景的应急响应能力。
“渗透测试”与“红蓝对抗”有什么区别?
①时间：在渗透测试中会指定明确的时间点完成，而红蓝对抗并无明确时间，两星期或半年都可以。
②技术：红蓝对抗不单只需要渗透测试技术，还需要懂得机器学习、自动化等技术。
③过程：渗透测试过程是有条不紊的进行。而红队攻击过程中不会全面收集企业资产，也不会进行大规模漏洞扫描。红队攻击的策略主要是依据蓝队防护策略、工具等，拥有不定性。
④输出：红蓝对抗后会出现清晰的脆弱点、攻击路径及解决方案。
⑤目的：渗透测试是为了了解自身网络资产是否存在风险点;红蓝对抗是为了了解自身网络资产能否在遭受攻击后迅速进行应急响应。
⑥关注点：红蓝对抗更专注的是应用层上的漏洞，而不是信息技术上的漏洞。