入侵和攻击模拟BAS的实践应用

引言

入侵和攻击模拟（BAS）是一种相对较新的IT安全技术，可以自动发现组织网络防御中的漏洞。通常，BAS通过模拟安全杀伤链的不同阶段，对组织进行持续渗透测试，验证组织的安全性。一般，BAS通常使用MITRE的ATT&CK框架作为基线，结合红队和蓝队技术并将它们自动化，然后对安全防御的有效性进行验证。

MITRE ATT&CK框架

MITRE ATT&CK 是由美国政府研究机构MITRE制作的一个惊人的全球免费知识库，它绘制了威胁攻击者用来对目标发起网络攻击的战术和技术。ATT&CK 框架（代表对抗性战术、技术和常识）于 2013 年开始使用，现在包含了大量的战术、技术和程序 (TTP)。

MITRE ATT&CK 有如下三个分类：

迄今为止，MITRE ATT&CK 在全球范围内用于多个学科，包括入侵检测、威胁追踪、安全工程、威胁情报、红队和风险管理。其攻击策略一般包括如下14点：

侦察：收集信息以计划未来的对手行动，即有关目标组织的信息
资源开发：建立资源以支持行动，即建立指挥和控制基础设施
初始访问：试图进入您的网络，即鱼叉式网络钓鱼
执行：尝试运行恶意代码，即运行远程访问工具
持久性：试图保持立足点，即改变配置
权限提升：试图获得更高级别的权限，即利用漏洞来提升访问权限
防御规避：试图避免被检测到，即使用受信任的进程来隐藏恶意软件
凭据访问：窃取帐户名和密码，即键盘记录
发现：试图弄清楚你的环境，即探索他们可以控制的东西
横向移动：在您的环境中移动，即使用合法凭证在多个系统中进行旋转
收集：收集对手目标感兴趣的数据，即访问云存储中的数据
命令和控制：与受感染系统通信以控制它们，即模仿正常的网络流量与受害网络通信
渗漏：窃取数据，即将数据转移到云账户
影响：操纵、中断或破坏系统和数据，即使用勒索软件加密数据

在 MITRE ATT&CK 矩阵的每个策略中，都有对手技术，这些技术描述了对手进行的实际活动。一些技术具有子技术，可以更详细地解释对手如何执行特定技术。MITRE ATT&CK的完整矩阵如下所示：

正如《孙子兵法》中所言，知己知彼百战百胜。BAS利用该框架可以更好的了解网络攻击者的运作方式，以及攻击者对目标进行侦察和发动攻击时使用的战术和技术，通过模拟的形式对防线进行验证，避免真实攻击时被击破。

BAS攻击面

前面我们讲到，BAS技术可以参考MITRE ATT&CK框架等知识库，以绘制黑客采用的潜在技术和策略，以使模拟攻击变得现实。一般，BAS用于测试系统中潜在攻击向量和暴露漏洞的一些不同方法包括以下内容。

1. 识别浏览器和网站防御漏洞

BAS技术通过HTTP和HTTPS协议连接到包含恶意脚本和表单的虚拟网页和站点，模拟测试使其通过互联网安全过滤器的页面，还可以评估端点保护是否可以阻止浏览器下载恶意文件。

2. 测试电子邮件保护

近年来，恶意邮件欺诈事件不断增多。攻击者通过伪造钓鱼网站，诱使用户点击钓鱼URL，导致用户的账户、密码等信息泄露；或诱使用户点击恶意附件，执行恶意代码，进而破坏用户电脑，导致数据泄露。BAS技术可以模拟攻击者，向被攻击者的电子邮箱发送包含多种类型感染文件的消息，如蠕虫、勒索软件、恶意软件和其他有效负载，以测试防病毒软件等方案的有效性。

3.检查常见的社会工程学方法

攻击者通常将恶意邮件作为社会工程系的一种手段，BAS技术可以发起虚拟网络钓鱼活动，通过模拟攻击向真实用户发送网络钓鱼电子邮件，目的是测试用户是否会点击恶意链接，帮助企业识别员工的安全意识，并加强社工意识培训。

4. 评估防火墙强度

BAS技术可以对特定的url运行模拟攻击，以找到绕过防火墙的方法。然后测试防火墙是否能够防止传入的恶意流量。而且，还可以通过尝试挖掘机密信息来升级模拟防火墙攻击，包括执行注入攻击和跨站点脚本(XSS)来破坏防火墙。

5. 确定潜在的网络攻击向量

BAS技术可以模拟攻击者成功破坏网络的场景。该模拟可以帮助企业评估攻击者是否可以通过特权升级、漏洞利用和通过哈希验证要求在多个设备上横向移动。此外，还可以检查是否可以将敏感数据定向、复制、传输并发送到网络之外的目的地。

6. 测试端点安全有效性

BAS技术可以测试勒索软件、病毒、蠕虫和间谍软件等恶意软件是否存在，通过模拟攻击可以验证部署的解决方案是否可以发现并阻止恶意软件在您的网络中传播。

BAS的使用场景

安全评估

BAS技术基于攻击模拟自动化技术，可以有效针对边界网络、内部网络和终端等不同的攻击行为，以自动化的方式对其进行检测，对安全防护体系的防御能力进行评估。

红蓝对抗