入侵和攻击模拟工具：顶级供应商、主要功能、如何选择

入侵和攻击模拟 (BAS) 产品可自动测试特定威胁载体，帮助组织了解其安全状况。

BAS 通常使用 MITRE ATT&CK 和 Cyber Killchain 框架来模拟网络和渗透、横向移动、网络钓鱼、端点和网关攻击、恶意软件和勒索软件等攻击。

这些模拟的目的是测试公司对这些攻击媒介的防御能力。BAS 与红队和渗透测试互为补充，但又有所区别。

你可以将 BAS 想象成四处检查你家门上的所有锁是否正常，以及你的安全摄像头是否能检测到走在它们前面的人。

相比之下，红队测试或渗透测试就像雇人试图闯入你的房子并偷走你的保险箱，然后他会去你甚至没有想到的地方找到一扇没有锁的窗户。

因此，BAS 是检查安全控制是否按预期运行的好方法，而渗透测试将发现这些安全控制可能未覆盖的区域，攻击者可能会利用这些区域来攻击目标。此外，BAS 模拟可以使用凭证和内部系统知识来模拟外部攻击和内部威胁。

BAS 也是对攻击面评估(ASA) 的补充。BAS 专注于确保企业安全控制（例如端点检测和响应 (EDR)）正常运行，而 ASA 则寻找所有潜在的漏洞和攻击媒介。

这些技术结合成一个更广泛的类别，研究公司 Gartner 称之为风险管理，尽管不同的分析师群体对这些术语的定义可能略有不同。

BAS 市场现状

有专门的 BAS 提供商、提供 BAS 以及渗透测试和其他相关服务的供应商，以及将 BAS 作为更广泛网络安全产品组合一部分的大型网络安全供应商或服务提供商。

而且这个行业可能会出现更多的整合。如果你有一个可以模拟攻击的工具，那么下一步就是阻止这些攻击。

但这需要不同类型的工具之间的集成，而这并不是那么简单。

Gartner 预测，到 2026 年，超过 40% 的组织将依靠整合平台或托管服务提供商来运行网络安全验证评估。

例如，从提供 XDR 的供应商处获取 BAS 的一个可能的缺点是，公司可能不希望同一家供应商提供防御能力和测试以查看这些防御能力是否确实按预期发挥作用。

这一领域以及网络安全所有其他领域的另一个大趋势是，供应商正在寻找机会将生成式人工智能集成到他们的产品中。

当你看到入侵和攻击模拟供应商正在做的事情时，你会发现其中已经有很多机器学习。

生成式人工智能是一种进化，我们可能看到生成式人工智能的第一个领域是用户界面。生成式人工智能的新应用是能够与数据交互是多么酷。

未来我们还可能会看到基于情报的人工智能建模威胁的能力，或者基于用户最感兴趣的攻击类型或最有可能影响其公司的攻击类型。

生成式人工智能还可用于帮助公司了解 BAS 发现的问题、确定其优先次序并提出具体的补救措施。

法规推动了 BAS 的需求

Garner 表示，典型的 BAS 客户是金融机构和保险公司。

但随着监管的不断加强，越来越多的公司面临着合规要求，这些要求侧重于测试其网络安全控制的有效性。

BAS 通常是一种昂贵的产品，预算或运营受限的小公司不会购买。

在 BAS 产品中需要寻找什么

公司在 BAS 工具中应该寻找的最重要的功能如下：

● 代表性攻击媒介，用于模拟与您的公司相关的各种攻击。

● 与攻击者实际使用的攻击场景类似的真实攻击场景，使用 MITRE ATT&CK 等框架。

● 可定制的场景来测试基础设施的独特方面。

● 自动化测试，以便模拟可以定期高效地运行，而不会影响操作或需要额外的人员。

● 详细的报告和分析有助于解释测试的含义并确定需要改进的领域。

● 能够扩展到当前和未来的企业环境的规模和复杂性。

● 能够在生产中跨混合环境进行测试，这对于确定控制在实际条件下的表现至关重要。

● 易于使用和部署，包括与您现有的安全工具和平台的开箱即用集成。

● 专家指导和支持，特别是对于刚接触 BAS 或没有大型、经验丰富的安全团队的公司。

● 当然还有成本。BAS 供应商通常不会公布定价信息，而且定价模式可能有所不同。确保定价结构适合您公司的使用情况。

9 家领先的 BAS 供应商

企业技术研究公司Expert Insights 整理了一份前 9 大 BAS 供应商名单。

该名单考虑了威胁模拟、报告粒度和集成难易程度等关键特性。

Expert Insinghts 的前 9 大供应商分别是 

AttackIQ

Cymulate

Fortinet FortiTester

Mandiant Red Team Assessment

NetSPI Breach and Attack Simulation

Picus Security

RedScan Breach and Attack Simulation

ReliaQuest GreyMatter Verify 

SafeBreach Breach

Attack Simulation Platform

根据 Gartner 的 Peer Insights BAS 工具排名，Cymulate、Picus、AttackIQ、SafeBreach、Fortinet 和 NetSPI 也位列顶级供应商之列。

而 XM Cyber 和 Keysight 等公司没有出现在 Expert Insights 中，但在评级系统中排名很高。

AttackIQ

据 Expert Insights 称，AttackIQ 的核心模拟平台根据 MITRE ATT&CK 框架复制了对手的战术、技术和程序。

该公司最近发布了第二代托管入侵和攻击模拟即服务平台 Ready!，让公司能够更轻松、更快地部署持续安全验证程序。

AttackIQ 的另一个主要 BAS 产品是 Flex，这是一种按需、无代理的测试服务，其定价基于结果而不是测试或许可证的数量。

AttackIQ 还因其测试 ML 和基于 AI 的网络安全组件的能力而闻名。

据 AttackIQ 首席商务官称，该公司是唯一一家提供自助服务和全方位 BAS 解决方案以及共同管理服务的 BAS 供应商。

这意味着其产品可以满足组织的需求、预算和他们希望使用该功能的方式。

AttackIQ 正在努力利用 AI 为其模拟提供支持。这将帮助客户加快测试周期，减少他们查找和修复安全漏洞的时间，并自动生成用于检测工程用例的 sigma 规则。

Cymulate

根据 Expert Insights 的说法，Cymulate 是领先的持续威胁暴露管理供应商，也是 Gartner Peer Reviews 评选出的顶级供应商。

与 AttackIQ 一样，Cymulate 使用 MITRE ATT&CK 框架，以其可用性和用户体验而闻名。

Cymulate 作为 SaaS 解决方案部署，为需要数据隔离的企业提供私有租赁选项。

Cymulate 产品副总裁表示，目前设置集成和部署工具需要三到四周时间。

该公司计划很快利用生成式人工智能将这一时间缩短至几分钟。

它还计划使用生成式人工智能自动创建攻击场景，将数千甚至数十万个攻击模拟结果简化为明确的缓解策略，并向安全团队解释如何实际实施缓解措施。

这些功能将在未来几个月内开始推出，全套功能将于 10 月底推出。

Fortinet FortiTester

据 Expert Insights 称， FortiTester提供 MITRE ATT&CK 模拟测试、基于 CVE 的 IPS 测试和 DDoS 流量生成，并可以模拟各种流量类型，包括 SSL、DDoS 和自定义流量。

它还将 BAS 与网络性能测试相结合，形成一个综合工具。但它在 Gartner Peer Insights 上的评价不如之前的一些工具高。

Mandiant security validation

Mandiant 以其威胁情报服务而闻名，但它也通过其Mandiant Advantage Security Validation软件提供入侵和攻击模拟。

Mandiant 的威胁情报专业知识已融入其 BASE 产品中，帮助其从竞争对手中脱颖而出。

其功能包括 MITRE ATT&CK 框架映射、自动环境漂移检测和警报以及真实世界攻击模拟。

NetSPI

NetSPI最为人熟知的是一家渗透测试公司，但它也可以通过检测面向公众的资产中的潜在漏洞来验证控制、识别检测漏洞并提供攻击面管理。

NetSPI 首席安全顾问表示，渗透测试专业知识意味着 NetSPI 客户可以获得一些实际支持。

我们经验丰富的渗透测试人员团队将与您的 SOC 团队通话并共享屏幕，演示我们的部分程序并记录他们看到的检测和预防措施。

NetSPI 目前正在使用生成式 AI 构建优先推荐功能。

我们将能够使用多个数据源，快速识别并优先考虑能够为最终用户提供最大价值的单个测试。

生成式人工智能的其他潜在用途包括根据特定行业的最新威胁情报动态生成剧本、构建动态攻击链并帮助识别可能覆盖范围不足的地方。

Picus Security

根据 Gartner Peer Reviews 的评价，Picus 是排名第二的 BAS 供应商，并在 Gartner 的 2024 年报告中被评为 BAS 的“客户之选”。

该公司表示，它在全球拥有数百家客户，包括万事达卡和 ING。

Picus Security Validation 平台包括 BAS 作为核心解决方案，还提供自动渗透测试和攻击面管理，它还支持 SOC 优化和云安全态势管理。

该公司正在大力投资人工智能，并提供了由人工智能驱动的生成式安全分析师，可以为公司提供有关其安全状况的见解。

通过提问，用户可以立即查看安全验证评估的结果，并获得量身定制的建议，以根据其组织的威胁概况和最新的网络威胁情报确定优先级并解决风险。

作为一种生成式 AI 工具，它可以将组织的 SIEM 规则智能地映射到 MITRE ATT&CK 框架，并提供基于 AI 的建议，以减轻威胁覆盖范围和可见性差距。

RedScan Breach and Attack Simulation

Redscan专注于托管检测和响应以及渗透测试。因此，该公司采用亲身实践的方式进行入侵和攻击模拟。

它基于数十年的事件响应和测试专业知识，为公司创建定制的入侵模拟。Redscan 还就模拟后的后续步骤提供专家建议。

ReliaQuest GreyMatter Verify 

ReliaQuest 以其安全运营平台GreyMatter而闻名，该平台去年夏天被 Gartner 评为托管检测和响应类别的“客户选择”供应商，94% 的客户表示愿意推荐该平台，尤其是在中型企业领域。

Verify 提供经过完整打包和现场测试的场景，安全分析师可以运行这些场景立即获得结果。

该供应商经常根据最新的威胁情报更新攻击场景。

它将威胁覆盖范围映射到 MITRE ATT&CK 等安全框架，检查现有安全产品是否有效，并评估新的安全控制是否有效。

不介意从同一供应商处获取 BAS 和 MDR 的企业可能会喜欢这种集成。

SafeBreach Breach

在 Gartner 的 Peer Insights 中，SafeBreach 是排名第四的 BAS 专用供应商。

该公司以与其他安全工具的集成而闻名，其客户包括 Netflix、PayPal、百事可乐和嘉士伯集团。

SafeBreach 的 BAS使用来自其 Hacker's Playbook 的 25,000 多种攻击方法来测试现有安全控制的有效性。它声称可以在 24 小时内将新威胁添加到平台上。

客户可以创建定制的攻击模拟，它使用 MITRE ATT&CK 框架并提供风险降低措施的成本评估。

购买 BAS 之前要问什么

Forrester 的 Nost 建议企业在开始 BAS 之旅之前，先了解一下他们实际拥有的系统和控制措施。

如果你不知道应该测试什么，那么你就不会急于开始使用 BAS。

选择供应商之前需要考虑的其他问题：

● 他们如何利用其产品来提高安全控制检测的准确性？

● 他们是否能够大规模地在生产中进行测试，同时对客户环境的影响最小？

● 供应商针对最新的威胁和对手进行了哪些研究？

● 供应商的威胁库多久更新一次？

● 您能否查看示例报告来了解模拟结果是如何呈现的？

● 平台是开放的还是只用于黑盒测试？这意味着供应商测试是透明的，以便您可以了解他们在做什么。

● 监管机构是否要求现场部署或隔离部署？如果是，请检查 BAS 供应商是否提供这些选项，大多数仅支持 SAAS。