之前经常会被用户问到,漏扫、渗透和红队红的区别是啥?
传统的漏扫、渗透和红蓝对抗,可以看到工具化的漏洞不可靠,人工的成本就高。怎么找到一个漏洞可信度又高,成本又低的,就诞生了BAS。
抛开漏扫,下面这个表是我们经常给用户介绍渗透和红队测试的区别,其中主要的一点就是红队评估是为了评估组织的整体防御能力。
但是今年最常被问到的是BAS是不是能替代红队评估了。不能说全部,只能说可以代替部分,并且是攻防的主要部分,毕竟BAS不能进行钓鱼、近源等。
....
废话不多说,我们来介绍一下什么是BAS,它能干什么?
BAS概念:BAS(Breach and Attack Simulation,入侵和攻击模拟):一种用于验证企业网络安全防御能力的技术。
从概念上可以看出来和红队评估有一定的重合了吧,都是验证企业安全防御的。所以这一点就能看出来为啥现在一些企业已经用BAS开始替代部分红队评估了吧。
BAS的工作原理:
部署:这里我借用freebuf中一张部署图来给大家说一下,首先在网络层、主机层、应用层都部署上BAS的Agent。
然后BAS通过自己服务端和各个Agent之间发送攻击的poc(只做验证),从而通过服务端的响应数据包,来验证防御体系是否完善,防御规则是否合理。
因此在hvv前,使用BAS来验证防御体系,并能够来验证防护策略是组织在攻击发生前进行主动防御,提高网络安全防御能力。
因此我们可以看到BAS相对红队评估的明显优势有以下两个:
1、模拟攻击者可能采用的各种攻击手段,评估网络安全防御系统。
2、动态和全面,持续进行攻击模拟,检测新威胁的防御能力。
就目前行业内的客户来看很多金融、互联网、运营商等行业在日常的安全运营中已经开始常态化的使用BAS设备,来帮助他们进行运营了。
但是市面上BAS常见还是比较多的,那国内外的BAS厂家及设备的区别和差异我都整理到了我的球球中了,有兴趣可以去看看。