近年来，为应对等保和护网等网络安全监管要求，企业已经采购部署了大量的安全防护设备，那么企业的安全防御体系是否已经足够坚固？

企业网络安全防护现状

根据Gartner的调查，97％的入侵行为发生在已经部署适当网络安全防护系统的公司，99%的攻击行为是使用已知并存在多年的攻击方式或者漏洞，95%的绕过安全防护设备的入侵攻击行为是因为错误的配置造成的。

由此可见，尽管企业部署了各类安全防护设备，但是如果没有持续升级或正确配置防护策略，这些安全防护设备依然无法发挥最大效果，无法有效防范安全入侵问题。

BAS，安全防护有效性验证评估技术

对于企业面临的这种困境，在2017年Gartner定义了BAS入侵和攻击模拟这个类别。在Gartner的定义中，BAS（Breach and Attack Simulation）是通过不断模拟针对不同资产的攻击，验证安全防护的有效性。

目前，经过几年的发展，国外BAS技术已经相对成熟，在2021年Gartner发布的安全运营技术成熟度曲线中，BAS仍处于高市场预期的热门赛道。近两年，国内BAS厂商也不断涌现，随着技术的不断成熟，BAS未来或将成为主流的安全风险检测技术。

什么是BAS？

简单来说，BAS技术主要是为企业和机构提供持续的安全防御体系评估能力。BAS整个体系分为管理中心和模拟器两部分。

管理中心：所有攻击模拟行为的管理调度和展示中心。

模拟器：部署在企业网络各个区域里，作为攻击的发起或被攻击的一个端点，通过各种模拟器的组合，覆盖各种攻击场景下的攻击模拟测试。例如：可以针对互联网边界上的WAF进行针对性的攻击测试，也可以对从办公终端到业务服务区、内网数据核心区这样完整的APT攻击链进行模拟测试。

BAS应用场景

BAS作为一种不会对企业真实业务环境造成影响的无损检测评估技术，在以下场景中被广泛应用：

1、企业安全防御态势评估

通过自动化的攻击模拟帮助企业持续评估整体的网络安全防御态势，及时发现安全控制中存在的策略问题或者防护漏洞，提升安全可见性和能见度，帮助安全团队持续改善企业的网络安全态势。

2、攻防演练/SOC演练

BAS可以作为红队工具包，在攻防演练场景、SOC训练中，模拟特定的攻击者，对特定或者全局网络进行模拟攻击测试，以评估企业安全团队是否能发现和响应特定的攻击行为，提高企业对入侵攻击的响应和处置能力。

3、安全合规评估

BAS可以针对等保2.0中提及的相关网络和通信安全、设备和计算安全、应用和数据安全、集中管控能力等有效性进行评估，验证有效性、安全配置与安全策略的一致性，评估安全管理制度的执行情况。

VackBAS智能自动化攻击模拟平台

墨云科技自主研发的VackBAS智能自动化攻击模拟平台，可以基于ATT&CK模型框架，模拟各类APT攻击场景，对WAF、终端安全、数据防泄漏等安全防护手段的有效性进行验证。