入侵与攻击模拟（BAS）市场趋势与选购指南

2024年6月5日作者：GoUpSec

入侵与攻击模拟（BAS）是指通过自动化方式模拟外部或内部威胁的攻击链条，帮助企业了解和评估自身网络安全状况的产品或服务。2017年，Gartner《面向威胁技术的成熟度曲线》中首次出现入侵与攻击模拟(BAS)分类。

BAS通常使用MITRE ATT&CK和Cyber Killchain等框架来模拟网络渗透、横向移动、网络钓鱼、端点和网关攻击、恶意软件以及勒索软件等攻击手段，测试企业防御系统能否抵御这些攻击。

BAS市场近年来快速增长，根据Global Information的《2024年自动化BAS全球市场报告》，BAS市场规模将从2023年的5.1亿美元扩大到2024年的7亿美元，复合年增长率高达36.8%。

BAS与红队测试有何不同？

与红队测试和渗透测试相比，BAS是性质不同的补充手段。BAS用于验证安全措施的有效（例如检查门锁是否损坏以及监控摄像头能否侦测到可疑人物）；而红队测试或渗透测试更像是聘请专业人员尝试闯入房子并窃取保险柜，并在这个过程中找出防御系统的漏洞。因此，简单来说，BAS可以用于检查现有的安全控制措施是否运行良好，而渗透测试则会发现安全控制遗漏的盲区，这些盲区正是攻击者可能用来实施攻击的切入点。

除了外部攻击之外，BAS模拟还可以利用凭证和内部知识来模拟内部威胁。此外，BAS与攻击面评估(ASA)相辅相成。ASA侧重于发现所有潜在的漏洞和攻击载体，而BAS则专注于确保企业安全控制（例如端点检测和响应(EDR)）的正常运行。Gartner将这些技术归为更广泛的暴露管理类别（不同的分析机构对此类术语的定义可能略有差异）。

BAS市场两大趋势：整合与智能化

Constellation Research的分析师Chirag Mehta表示，BAS市场的参与者包括专业BAS产品供应商、提供BAS和渗透测试等相关服务的厂商，以及将BAS纳入其更广泛网络安全产品组合的大型网络安全厂商或服务提供商。未来，BAS市场可能会出现进一步的整合。

Gartner预测，到2026年，超过40%的企业将依靠整合平台或托管服务提供商来验证或评估网络安全防护能力。例如，从提供XDR服务的供应商处获取BAS服务。但这种方式存在一个潜在问题：企业可能并不希望由同一家供应商既提供防御能力，又测试这些防御能力是否有效。

Mehta指出：“如果你拥有可以模拟攻击的工具，那么下一步就是阻止这些攻击的发生。”但这需要不同类型的工具之间进行集成，并非易事。

与其他网络安全细分市场一样，BAS市场的另一个重要趋势是融合人工智能技术，BAS供应商们正在积极寻求将生成式人工智能集成到他们的产品中。

Forrester Research的分析师Erik Nost表示：“当你研究漏洞与攻击模拟供应商的产品时，你会发现其中已经包含了很多机器学习。”他认为，生成式人工智能是未来发展方向。生成式人工智能最有可能首先出现在用户界面领域。Nost表示：“生成式人工智能的新颖之处在于它能够以一种非常酷的方式与数据进行交互。”未来，我们还可能会看到利用人工智能模拟基于情报的威胁，或者基于用户最感兴趣的攻击类型或最有可能影响他们公司的攻击类型。生成式人工智能还可以帮助企业理解BAS发现的问题，确定问题的优先级并建议具体补救措施。

合规需求推动BAS普及

根据Gartner的说法，BAS的典型客户是金融机构和保险公司。但是随着网络安全监管的不断加强，越来越多的公司面临着合规要求，这些要求侧重于测试网络安全控制措施的有效性。

网络安全公司Sygnia的对抗战术总监Ilia Rabinovich认为，BAS仍然是一款价格昂贵的产品，预算或运营能力有限的小型企业不会购买此类产品。

BAS产品的八个关键产品力

企业在选择BAS工具时应重点考量以下产品功能和特性：

能够模拟针对企业的各种攻击的典型攻击载体。
使用诸如MITRE ATT&CK等框架的逼真攻击场景，这些场景类似于攻击者实际使用的攻击手段。
可定制的场景，用于测试基础架构的独特之处。
自动化测试，以便能够定期高效地运行模拟测试，而不会影响运营或需要额外的人员。
详细的报告和分析，帮助解释测试结果并识别需要改进的领域。
能够扩展到当前和未来企业环境的规模和复杂性。
能够跨越生产环境中的混合环境进行测试，这对于识别控制措施在真实世界条件下的性能至关重要。
易于使用和部署。

九大热门BAS产品点评

企业技术研究公司Expert Insights对九大顶级BAS供应商的产品进行了评测，主要评估标准包括威胁模拟、报告细化程度和集成易用性等关键功能。这九大BAS（供应商）产品分别是：AttackIQ、Cymulate、Fortinet FortiTester、Mandiant Red Team Assessment、NetSPI Breach and Attack Simulation、Picus Security、RedScan Breachand Attack Simulation、ReliaQuest GreyMatter Verify和SafeBreach Breach and Attack Simulation平台。

九大BAS产品各自的优势和产品能力点评如下：

AttackIQ

AttackIQ的核心仿真平台根据MITRE ATT&CK框架复制对手的战术、技术和程序。其最近推出的第二代托管数据安全演练服务平台Ready!，使企业能够更快地部署持续安全验证程序。AttackIQ还提供Flex按需无代理测试服务，按结果收费。

Cymulate

Cymulate是一家领先的持续威胁暴露管理供应商，被Gartner同行评审列为顶级供应商。Cymulate使用MITREATT&CK框架，以其可用性和用户体验而著称。其SaaS解决方案可在三到四周内完成集成和部署，计划利用生成式AI缩短这一时间。

Fortinet FortiTester

FortiTester提供MITRE ATT&CK仿真测试、基于CVE的IPS测试和DDoS流量生成，能够模拟各种类型的流量，包括SSL、DDoS和自定义流量。

Mandiant

Mandiant以其威胁情报服务而闻名，同时通过其Mandiant Advantage Security Validation软件提供数据安全演练。该软件集成了MITRE ATT&CK框架映射、自动化环境漂移检测和警报以及真实世界攻击仿真。

NetSPI

NetSPI以渗透测试闻名，提供控制验证、检测漏洞和攻击面管理服务。其生成式AI功能可优先推荐最有价值的测试。

Picus Security