BAS（Breach and Attack Simulation，即入侵和攻擊模擬）。2017年，Gartner在《面向威脅技術(shù)的成熟度曲線(xiàn)》報(bào)告中首次提出了BAS并將其定位為“一種正在崛起的技術(shù)”；2021年，Gartner在發(fā)布的《2021安全運(yùn)營(yíng)技術(shù)成熟度曲線(xiàn)》中，將BAS的技術(shù)優(yōu)先級(jí)評(píng)為“高”；2022年，Gartner在《2022中國(guó)安全成熟度曲線(xiàn)》報(bào)告中再次提及BAS，將其認(rèn)定為具有潛力的高價(jià)值技術(shù)，同時(shí)，推薦360數(shù)字安全集團(tuán)作為該領(lǐng)域代表廠(chǎng)商。

BAS技術(shù)緣起：以攻促防，驗(yàn)證安全

隨著新興技術(shù)的發(fā)展，企業(yè)網(wǎng)絡(luò)安全建設(shè)逐步完善，但攻擊面也隨之?dāng)U大，如何驗(yàn)證真實(shí)防御效能成為安全運(yùn)營(yíng)者面臨的問(wèn)題。一方面，紅藍(lán)對(duì)抗、攻防演習(xí)、滲透測(cè)試等活動(dòng)受限于人員精力、安全團(tuán)隊(duì)技術(shù)水平、企業(yè)內(nèi)部資源協(xié)調(diào)，無(wú)法常態(tài)化開(kāi)展，難以系統(tǒng)性度量改進(jìn)；另一方面，漏洞掃描、基線(xiàn)核查等自查工作更多聚焦于資產(chǎn)本身，缺乏攻擊者視角，對(duì)防御能力評(píng)估效果不明顯。

在此背景下，BAS應(yīng)運(yùn)而生。根據(jù)Gartner報(bào)告，“BAS通過(guò)自動(dòng)化模擬外部和內(nèi)部、橫向移動(dòng)和數(shù)據(jù)泄漏等威脅向量，使企業(yè)更好地了解自身安全薄弱點(diǎn)，其是對(duì)紅隊(duì)或滲透測(cè)試的補(bǔ)充，但并不能完全取代兩者”。由此可見(jiàn)，BAS的出現(xiàn)為企業(yè)機(jī)構(gòu)提供持續(xù)性的防御態(tài)勢(shì)評(píng)估，彌補(bǔ)滲透測(cè)試等跨周期定點(diǎn)評(píng)估所提供的有限可視性。

BAS基于攻擊者視角，通過(guò)模擬針對(duì)邊界網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)和終端機(jī)器等資產(chǎn)的攻擊行為，以攻促防，為企業(yè)建立并持續(xù)優(yōu)化安全運(yùn)營(yíng)能力提供支撐，是企業(yè)搭建數(shù)字安全防御體系的重要保障。?

淺析360?BAS?：安全度量標(biāo)尺

360自2017年便開(kāi)始關(guān)注BAS技術(shù)；2020年推出國(guó)內(nèi)首創(chuàng)BAS類(lèi)產(chǎn)品；2022年，獲Gartner報(bào)告推薦。以其精準(zhǔn)、智能、實(shí)時(shí)、無(wú)害等核心特點(diǎn)，幫助客戶(hù)持續(xù)提升安全防護(hù)水平和安全運(yùn)營(yíng)能力，打造“安全度量標(biāo)尺”。

其主要具備海量技術(shù)案例支撐，海量技術(shù)案例支撐和全面配套服務(wù)三大優(yōu)勢(shì)。首先，依托360高級(jí)威脅研究院、漏洞研究院等多個(gè)核心安全團(tuán)隊(duì)基于實(shí)戰(zhàn)和研究的成果，形成 360全景攻防知識(shí)圖譜，產(chǎn)出眾多技術(shù)案例，保障評(píng)估的專(zhuān)業(yè)性；其次，360從17年攻防實(shí)戰(zhàn)中提煉漏洞利用和典型攻擊的實(shí)例，自主研發(fā)輸出超過(guò)數(shù)千份高仿真、安全的素材，高度還原真實(shí)事件進(jìn)行模擬，保障評(píng)估結(jié)果的準(zhǔn)確性；第三，360 BAS在部署后的所有報(bào)告皆可自動(dòng)完成，通過(guò)實(shí)時(shí)更新的云端場(chǎng)景和360高級(jí)安全專(zhuān)家提供的專(zhuān)業(yè)安全服務(wù)，持續(xù)評(píng)估安全防護(hù)狀態(tài)。

總之，360 BAS針對(duì)不同客戶(hù)體量和防護(hù)場(chǎng)景，可實(shí)現(xiàn)多樣化、靈活部署。通過(guò)全天候自動(dòng)化評(píng)估自查，保障安全防御體系高效運(yùn)營(yíng)，及時(shí)改進(jìn)提升，構(gòu)建常態(tài)化安全驗(yàn)證框架。同時(shí)，提供可量化、可視化的安全評(píng)估態(tài)勢(shì)，幫助客戶(hù)針對(duì)性補(bǔ)齊安全能力，降低安全運(yùn)營(yíng)成本。

360 BAS落地實(shí)踐：服務(wù)各行各業(yè)

支撐攻防實(shí)戰(zhàn)，守護(hù)某大型金融機(jī)構(gòu)安全

金融是國(guó)民經(jīng)濟(jì)命脈，現(xiàn)代經(jīng)濟(jì)的核心，某大型金融機(jī)構(gòu)常年處于攻防對(duì)抗最前沿，日均遭受攻擊已達(dá)上億次，亟需準(zhǔn)確評(píng)估并提升安全防御體系能力。

360以提升安全防御能力為核心目標(biāo)，尤其針對(duì)托管運(yùn)營(yíng)網(wǎng)站的主機(jī)安全以及容器安全進(jìn)行系統(tǒng)性評(píng)估，量化結(jié)果，發(fā)現(xiàn)潛在安全隱患，進(jìn)行整體布防、策略調(diào)優(yōu)，完善整體安全防御水平。同時(shí)，并將常態(tài)化的防御能力評(píng)估加入到日常運(yùn)營(yíng)工作中，幫助該金融機(jī)構(gòu)實(shí)現(xiàn)風(fēng)險(xiǎn)前移、有效量化、主動(dòng)防御，讓安全“可知、可辨、可溯、可控、可管、可視”，打造實(shí)戰(zhàn)化攻擊模擬系統(tǒng)。?

評(píng)估安防體系，筑牢某數(shù)據(jù)服務(wù)企業(yè)防線(xiàn)

數(shù)據(jù)作為新型生產(chǎn)要素，已成為社會(huì)數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ)，大數(shù)據(jù)改變著人們的生產(chǎn)方式、生活方式和社會(huì)治理方式，對(duì)企業(yè)服務(wù)也提出了更高要求。某數(shù)據(jù)服務(wù)企業(yè)在推動(dòng)自身生產(chǎn)運(yùn)營(yíng)的智能化和服務(wù)水平的精益化的同時(shí)，也面臨著復(fù)雜網(wǎng)絡(luò)攻擊的挑戰(zhàn)，需要模擬真實(shí)攻擊對(duì)其防護(hù)能力進(jìn)行驗(yàn)證，從而為后續(xù)決策和整改提供依據(jù)。

360在該企業(yè)原有的態(tài)勢(shì)感知平臺(tái)增加部署B(yǎng)AS安全驗(yàn)證模塊，綜合多場(chǎng)景全面評(píng)估了企業(yè)的抗攻擊能力，實(shí)現(xiàn)對(duì)現(xiàn)網(wǎng)中邊界安全、內(nèi)網(wǎng)安全、終端安全及郵件安全的防護(hù)能力進(jìn)行驗(yàn)證，完成安全運(yùn)營(yíng)的閉環(huán)建設(shè)。展開(kāi)來(lái)說(shuō)，在攻防演練中，采用安全驗(yàn)證模塊，可以從實(shí)戰(zhàn)角度快速排查存在的安全隱患，并及時(shí)加固補(bǔ)強(qiáng)，提升自身摸底排查效率；在日常安全運(yùn)營(yíng)流程中，安全驗(yàn)證模塊可以周期性針對(duì)現(xiàn)網(wǎng)安全防護(hù)能力進(jìn)行安全驗(yàn)證，持續(xù)提升防護(hù)能力。

安全度量可視，助力某電力企業(yè)降本增效

近年來(lái)，針對(duì)電力等關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊愈發(fā)頻繁，某電力企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施已基本完善，通常采用滲透測(cè)試服務(wù)評(píng)估其安全防護(hù)能力，但存在周期長(zhǎng)、費(fèi)用高、維度少等缺陷，亟待需要周期自動(dòng)化、維度多樣化、費(fèi)用相對(duì)可控的評(píng)估服務(wù)。

通過(guò)便攜式BAS工具箱，模擬數(shù)百種攻擊手法對(duì)該企業(yè)現(xiàn)網(wǎng)的防護(hù)體系進(jìn)行周期性安全防護(hù)能力驗(yàn)證，基于驗(yàn)證結(jié)果輸出安全評(píng)估報(bào)告及補(bǔ)強(qiáng)加固建議報(bào)告，不斷改善網(wǎng)絡(luò)安全運(yùn)營(yíng)環(huán)境；同時(shí)，基于攻擊全方位、應(yīng)用實(shí)戰(zhàn)化的安全防護(hù)能力評(píng)估服務(wù)，為防護(hù)加固建設(shè)和安全投入方向提供詳實(shí)數(shù)據(jù)支撐，讓安全提升、安全投入看得見(jiàn)。

安全能力可見(jiàn)，實(shí)現(xiàn)某零售企業(yè)縱深防御

零售行業(yè)呈現(xiàn)線(xiàn)上線(xiàn)下融合發(fā)展趨勢(shì)，提出了從IT系統(tǒng)、經(jīng)營(yíng)、金融到供應(yīng)鏈的全方位數(shù)字化需求。某零售企業(yè)業(yè)務(wù)體系龐大，其安全體系建設(shè)相對(duì)完善，已部署大量安全設(shè)備，并且定期進(jìn)行漏掃排查，但排查手段聚焦資產(chǎn)自身安全，缺乏針對(duì)該企業(yè)防護(hù)能力的實(shí)戰(zhàn)化驗(yàn)證平臺(tái)。

360 BAS以實(shí)戰(zhàn)化安全驗(yàn)證方式和資產(chǎn)漏洞排查手段互為補(bǔ)充，在重大活動(dòng)前和活動(dòng)中，全面保障安全運(yùn)營(yíng)的高效穩(wěn)定。憑借強(qiáng)大的安全專(zhuān)家團(tuán)隊(duì)，針對(duì)熱門(mén)攻擊及時(shí)分析、提取、制作安全驗(yàn)證用例，并安全應(yīng)用到自身防護(hù)能力的評(píng)估，保證該企業(yè)防護(hù)體系的有效性。此外，采用整體驗(yàn)證和專(zhuān)項(xiàng)驗(yàn)證結(jié)合的方式，同時(shí)考慮整體防御效果和單項(xiàng)防護(hù)能力，保證縱深防御的有效性和單類(lèi)型設(shè)備的效用最大化，幫助該企業(yè)實(shí)現(xiàn)安全能力從被動(dòng)式單點(diǎn)防護(hù)到主動(dòng)式縱深防御的有序演進(jìn)，并將進(jìn)一步提升其面向?qū)崙?zhàn)的安全防護(hù)能力。

目前，360 BAS已廣泛服務(wù)于金融、能源、通信、政務(wù)等行業(yè)客戶(hù)。未來(lái)，360 BAS將充分發(fā)揮“安全度量標(biāo)尺”的功能，為客戶(hù)構(gòu)建常態(tài)化安全驗(yàn)證框架，評(píng)估、查漏、提升安全能力！