每个安全团队都关心他们现有的安全控制、流程和程序是否能阻止或限制攻击，以及他们的恢复计划将以多快的速度维护或恢复系统正常运行。很多企业使用渗透测试来评估其安全计划的有效性，但现在越来越多的企业使用数据泄露和攻击模拟（BAS）。

渗透测试往往是一次性的资源密集型演练，仅提供该时间点安全状态的快照。为了跟上不断变化的 IT 环境和不断变化的威胁形势，安全团队需要使用BAS演练来定期（如果不是一直）持续测试安全防御，以确保它们始终正确配置，并可以检测和响应任何网络攻击。

什么是数据和攻击模拟？

BAS是一种演练，涉及企业模拟针对其自己的网络、基础架构和资产的完整攻击周期，通过使用攻击者使用的策略、技术和程序。这种模拟还可以涉及在 IT 系统的日常维护中发挥积极作用的关键安全合作伙伴，该模拟可以基于已知的威胁或威胁参与者，也可以专注于安全问题，例如利用特定漏洞、恶意软件或勒索软件攻击、数据泄露或用户行为。

BAS 的目标是评估安全控制和人员在检测和缓解攻击方面的表现。还可确定需要改进的领域，并发现现有的漏洞和安全问题。从攻击者的角度定期测试 IT 网络和系统，使企业能够评估和改进其整体安全防御。在模拟过程中，企业会发现可能使关键资产面临风险的漏洞、错误配置和用户行为。

BAS工具是高度自动化的。这样可以更轻松地运行频繁的BAS测试，并避免渗透测试或红队和蓝队演练之间通常较长的间隔。频繁的测试提高了对安全环境实际状态的整体可见性。

主要BAS用例

BAS演练可以随时运行，但企业应特别考虑以下四个主要的用例。

加强、评估和验证安全控制

BAS演练定期检查当前的安全控制是否正确集成和配置，以成功检测和阻止攻击的进展。频繁更新软件和系统很容易导致配置漂移或错误，从而引入意想不到的安全漏洞。

与渗透测试相比，BAS的迭代性质和更广泛的范围使得企业可更容易和快捷地发现安全防御中新的或不可预见的问题。安全控制的有效性不仅得到验证，而且有助于缩短响应时间，因为通过定期实践安全人员更加熟悉谁需要做什么、何时以及如何做。

提升效率

BAS 工具可以帮助改进两个关键安全指标：平均检测时间和平均响应时间。定期运行漏洞和攻击模拟使安全团队能够微调其监控和检测工具。它还有助于团队了解如何最好地响应不同类型的攻击，以便更新程序以提高响应者行动的有效性和及时性。

还可以根据在特定 IT 环境中显示可利用的漏洞以更好地确定漏洞修补计划的优先级。仅根据 CVSS 分数确定漏洞修补的优先级不一定是最合适的方法。补偿控制可能已经到位，可以在下一个计划的修补窗口之前阻止其漏洞利用，而低 CVSS 分数漏洞可能仍使攻击者能够访问关键或高价值资产，因为特定环境的配置和保护方式，因此需要紧急修补。

模拟还可以检查，以确保补丁更新和对系统的其他更改不会对整体安全性产生不利影响。

弹性和准备情况评估

BAS可以模拟攻击的展开方式（交付、漏洞利用、安装、命令和控制以及恶意操作），使安全团队和控制做好准备，并准备好处理真正的攻击。很多BAS供应商使用Mitre ATT&CK框架来模拟与特定行业和环境相关的攻击。与完整的渗透测试相比，模拟可以在更短的时间内实施，风险更小，同时仍然提供攻击媒介、攻击者的行动和方法的详细信息，以及安全团队为防止全面数据泄露而需要采取的行动。

协助合并、收购和内部变革

每当 IT 环境经历快速变化时期（例如在合并、收购或内部扩展或重组期间）时，都必须确定这些变化如何影响安全弹性，通常是在短时间内。BAS是了解已购买的新系统或已修改系统的安全性的最快方法之一，因此可以计划集成以确保持续的安全性，同时将中断降至最低。

用户行为评估

员工通常是企业IT环境中最薄弱的环节；很多数据泄露行为始于人为错误。用户可以通过单击恶意链接或附件而不严格遵循安全程序来无意中帮助攻击者。基于网络钓鱼的 BAS 练习是衡量员工对网络钓鱼攻击的反应的好方法。当基于现实世界的事件和针对个人、部门或国家具体情况的已知活动时，BAS结果提供了明确的指标来衡量对内部安全标准的遵守情况，评估当前网络安全培训的有效性，并确定哪些人需要额外的培训。

BAS用例将增加

随着企业网络变得越来越复杂和面向云，物联网和远程工作增加了这种复杂性，数据泄漏和攻击模拟是衡量企业对网络威胁的实际弹性的有效而全面的方法，同时也有助于增加负责检测、预防和响应攻击的人员的知识、理解和效率。

即使在使用 BAS 工具和技术时，渗透测试和红、蓝、紫团队练习仍将是确保强大安全态势的重要组成部分。但请记住，只有采取行动并修复缺陷和漏洞，这些测试的结果才有用。下一轮演练应始终显示出积极的改进和进展。