從設計認證到反應壓力測試
在當前瞬息萬變的網路威脅環境中,網路安全防禦的重心已從「預測」轉向「證明」。傳統的安全模式,仰賴年度滲透測試或靜態合規清單,無法跟上攻擊者快速橫向移動的步伐。當新的漏洞出現時,攻擊者能在數分鐘內掃描整個網路,並迅速確立立足點。在董事會尋求即時答案的壓力下,安全團隊不再擁有數日甚至數週的時間來反應。BAS(Breach and Attack Simulation,攻擊與漏洞模擬)正是為了解決這種時間壓力與不確定性而生,它已超越單純的合規性檢查,成為網路安全體系的日常「電壓測試」,旨在持續驗證安全防禦的有效性。它不問「哪裡有漏洞」,而是問「當我們遭受攻擊時,會發生什麼」。這場典範轉移的核心,在於將安全保障從基於信念(Belief)轉變為基於證據(Proof)。
安全典範的轉移:從藍圖到物理學
安全失效並非發生在漏洞被攻破的那一刻,而是發生在衝擊發生的那一刻。 當新的漏洞出現時,掃描器會在幾分鐘內掃描整個網路。一旦攻擊者站穩腳跟,橫向移動往往也會以同樣快的速度發生。如果你的安全防護措施沒有針對正在使用的具體技術進行過測試,那麼你不是在防禦,而只是在祈禱情況不會變得非常糟糕。 BAS (Breach and Simulation) (註)已經超越了合規性的範疇,成為網路安全的日常電壓測試,是你對整個系統進行測試,看看它是否真的能承受壓力的電流。本文並非推銷或詳細介紹,而是對台上討論內容的總結,本質上是闡述 BAS 如何從一項年度例行公事演變為一種簡單有效的日常方式,以證明你的防禦措施確實有效。 幾十年來,安全保障一直像建築設計一樣對待:設計、建造、檢查、認證,這是一種基於計劃和文件的清單式方法。然而,攻擊者從未接受過這樣的計畫,他們把防禦當作物理學,持續施壓,直到結構彎曲或折斷。他們不在乎藍圖如何規定,他們只在乎結構在哪裡失效。 BAS改變了這種局面,它並非對設計進行認證,而是對反應進行壓力測試。它會在真實環境中運作安全、可控的對抗行為,以驗證防禦措施是否真的能夠如預期地做出反應。
滲透測試仍具價值,但其本質是一次性快照。而BAS提供的,則是一種持續的機械式差異檢測,它測量的是防禦機制在遭遇實際威脅時的反應能力,而非潛在漏洞的數量。真正的防禦始於自知之明:在模擬敵人之前,必須清楚地看見自身環境中被遺忘的資產、未標記的帳戶和具備網域管理員權限的遺留腳本。
註:
BAS的核心原則:實證為王
成熟的BAS實踐有兩項關鍵原則,區分了領先與落後的資安計畫:
一、結果優先(Outcome First) 資安團隊必須從最擔憂的衝擊事件開始反向工作,例如備份被刪除、資料被加密或竊取。以知名的勒索軟體Akira為例,透過在自身環境內安全地重放其濫用PowerShell或透過共享驅動器擴散的行為鏈,團隊得以學習並驗證防禦措施是否能在攻擊中途有效中斷鏈條,而非僅僅猜測。BAS強調從結果出發,而非從資產清單或漏洞庫存出發。
二、預設紫隊(Purple by Default) BAS不是紅隊(進攻)對抗藍隊(防禦)的單純「劇場」,它是一種協同模型。這是威脅情報、資安工程與營運團隊的融合:模擬(Simulate)→ 觀察(Observe)→ 調校(Tune)→ 再模擬(Re-simulate)。透過將驗證工作融入每週的例行公事,團隊得以將過去的「假設」轉變為可靠的「證明」,持續優化SIEM、EDR等工具的偵測與響應規則。
人與機器:AI在威脅情報策展中的角色
人工智慧(AI)是本次峰會的熱點,但其最有價值的見解不在於創造力,而在於克制。安全領域需要速度,但更需要來源(Provenance)的可靠性。沒有人希望大型語言模型即興創作攻擊酬載或對威脅行為進行臆測。目前,AI最有用的角色是策展,而非創造。它將混亂、非結構化的威脅情報,轉化為防禦者可直接操作和部署的安全模擬計畫。
AI在此過程中像是一個接力賽的專家團隊:
規劃者(Planner):定義需要收集哪些情報。
研究員(Researcher):驗證並豐富威脅數據。
建構者(Builder):將資訊結構化為安全的模擬計畫。
驗證者(Validator):在實際運行前檢查模擬的保真度。
這種多代理人(Multi-Agent)的架構,確保了每個步驟都有檢核點,從而維持了高度的準確性和低風險。現在,從一則新聞頭條到一份可執行的模擬計畫,所需時間已從數日縮短至數小時,大幅加速了威脅響應的速度。
從假設到證據:BAS對漏洞修補策略的影響
在峰會上,一個犀利的問題是:「我們需要修補所有漏洞嗎?」答案是斬釘截鐵的:不。
基於BAS的驗證證明,「修補一切」不僅不切實際,而且是不必要的。重要的是要知道哪些漏洞在你特定的環境中是實際可被利用的。
透過結合漏洞數據與即時的安全控制性能,資安團隊能夠看清真正的風險集中在哪裡,而不是單純依賴CVSS等評分系統的判斷。一個CVSS評分高達9.8的漏洞,如果被驗證有效的預防和偵測機制所保護,它帶來的實際風險可能很低。反之,一個中等嚴重性的缺陷,若位於暴露的關鍵系統上,且缺乏有效防禦,則可能開啟一條即時的攻擊路徑。
這種從依賴假設修補到依賴證據修補的轉變,是本次活動的決定性時刻。BAS不再告訴你「所有地方哪裡出了錯」,而是告訴你「這裡有什麼東西會傷害你」,從而將Gartner所提出的**持續威脅暴露管理(CTEM)**從理論轉化為可執行的戰略。
導入BAS:持續驗證的日常化
開始導入BAS不需要「登月計畫」式的全面鋪開。許多成功團隊的經驗顯示,可以從小處著手,在數週內而非數季內證明其價值:
界定範圍:選擇一個或兩個關鍵範圍,例如財務終端或某個生產集群,並繪製保護它們的安全控制措施。
確立結果:選定一個現實的攻擊結果(如資料加密),並建立能夠實現該結果的最小戰術、技術與程序(TTP)鏈。
執行與優化:安全執行模擬,觀察預防或偵測在哪裡失效,修復關鍵問題,然後再次運行。
透過AI輔助的工作流程,威脅情報得以自動刷新,安全的模擬行動得以重新生成。在實務中,當團隊目睹前一天部署的規則成功地阻止了一條模擬的殺傷鏈時,BAS便從一個「專案」轉變為其日常安全實踐的有機組成部分。BAS已經成為持續驗證的心跳,確保每一個變更、每一次修補、每一個新的CVE出現,都會觸發一次新的驗證脈衝,維持防禦的敏捷性。
基於信念到基於證據的未來
過去,安全運作在很大程度上仰賴於信念和合規文件。而BAS正在以實證取代信念,如同為防禦體系通上電流,以檢視電路在何處失效。AI帶來了速度,自動化帶來了規模,而驗證(Validation)則帶來了真相。BAS不再是安全管理中用來談論的術語,它已成為用來證明資安有效性的核心動力。
資料來源:https://thehackernews.com/2025/10/the-death-of-security-checkbox-bas-is.html