BAS（Breach and Attack Simulation，即入侵和攻擊模擬）。2017年，Gartner在《面向威脅技術的成熟度曲線》報告中首次提出了BAS并將其定位為“一種正在崛起的技術”；2021年，Gartner在發(fā)布的《2021安全運營技術成熟度曲線》中，將BAS的技術優(yōu)先級評為“高”；2022年，Gartner在《2022中國安全成熟度曲線》報告中再次提及BAS，將其認定為具有潛力的高價值技術，同時，推薦360數(shù)字安全集團作為該領域代表廠商。

BAS技術緣起

以攻促防，驗證安全

隨著新興技術的發(fā)展，企業(yè)網(wǎng)絡安全建設逐步完善，但攻擊面也隨之擴大，如何驗證真實防御效能成為安全運營者面臨的問題。

紅藍對抗、攻防演習、滲透測試等活動受限于人員精力、安全團隊技術水平、企業(yè)內(nèi)部資源協(xié)調(diào)，無法常態(tài)化開展，難以系統(tǒng)性度量改進。

漏洞掃描、基線核查等自查工作更多聚焦于資產(chǎn)本身，缺乏攻擊者視角，對防御能力評估效果不明顯。

在此背景下，BAS應運而生。根據(jù)Gartner報告，“BAS通過自動化模擬外部和內(nèi)部、橫向移動和數(shù)據(jù)泄漏等威脅向量，使企業(yè)更好地了解自身安全薄弱點，其是對紅隊或滲透測試的補充，但并不能完全取代兩者”。由此可見，BAS的出現(xiàn)為企業(yè)機構(gòu)提供持續(xù)性的防御態(tài)勢評估，彌補滲透測試等跨周期定點評估所提供的有限可視性。

BAS基于攻擊者視角，通過模擬針對邊界網(wǎng)絡、內(nèi)部網(wǎng)絡和終端機器等資產(chǎn)的攻擊行為，以攻促防，為企業(yè)建立并持續(xù)優(yōu)化安全運營能力提供支撐，是企業(yè)搭建數(shù)字安全防御體系的重要保障。

淺析360 BAS

安全度量標尺

360自2017年便開始關注BAS技術；2020年推出國內(nèi)首創(chuàng)BAS類產(chǎn)品；2022年，獲Gartner報告推薦。以其精準、智能、實時、無害等核心特點，幫助客戶持續(xù)提升安全防護水平和安全運營能力，打造“安全度量標尺”。

其主要具備三大優(yōu)勢：

海量技術案例支撐：依托360高級威脅研究院、漏洞研究院等多個核心安全團隊基于實戰(zhàn)和研究的成果，形成 360全景攻防知識圖譜，產(chǎn)出眾多技術案例，保障評估的專業(yè)性。

高仿真模擬評估：360從17年攻防實戰(zhàn)中提煉漏洞利用和典型攻擊的實例，自主研發(fā)輸出超過數(shù)千份高仿真、安全的素材，高度還原真實事件進行模擬，保障評估結(jié)果的準確性。

全面配套服務：360 BAS在部署后的所有報告皆可自動完成，通過實時更新的云端場景和360高級安全專家提供的專業(yè)安全服務，持續(xù)評估安全防護狀態(tài)。

總之，360 BAS針對不同客戶體量和防護場景，可實現(xiàn)多樣化、靈活部署。通過全天候自動化評估自查，保障安全防御體系高效運營，及時改進提升，構(gòu)建常態(tài)化安全驗證框架。同時，提供可量化、可視化的安全評估態(tài)勢，幫助客戶針對性補齊安全能力，降低安全運營成本。

360 BAS落地實踐

服務各行各業(yè)

支撐攻防實戰(zhàn)，守護某大型金融機構(gòu)安全

金融是國民經(jīng)濟命脈，現(xiàn)代經(jīng)濟的核心，某大型金融機構(gòu)常年處于攻防對抗最前沿，日均遭受攻擊已達上億次，亟需準確評估并提升安全防御體系能力。

360以提升安全防御能力為核心目標，尤其針對托管運營網(wǎng)站的主機安全以及容器安全進行系統(tǒng)性評估，量化結(jié)果，發(fā)現(xiàn)潛在安全隱患，進行整體布防、策略調(diào)優(yōu)，完善整體安全防御水平。

同時，并將常態(tài)化的防御能力評估加入到日常運營工作中，幫助該金融機構(gòu)實現(xiàn)風險前移、有效量化、主動防御，讓安全“可知、可辨、可溯、可控、可管、可視”，打造實戰(zhàn)化攻擊模擬系統(tǒng)。

評估安防體系，筑牢某數(shù)據(jù)服務企業(yè)防線

數(shù)據(jù)作為新型生產(chǎn)要素，已成為社會數(shù)字化、網(wǎng)絡化、智能化的基礎，大數(shù)據(jù)改變著人們的生產(chǎn)方式、生活方式和社會治理方式，對企業(yè)服務也提出了更高要求。

某數(shù)據(jù)服務企業(yè)在推動自身生產(chǎn)運營的智能化和服務水平的精益化的同時，也面臨著復雜網(wǎng)絡攻擊的挑戰(zhàn)，需要模擬真實攻擊對其防護能力進行驗證，從而為后續(xù)決策和整改提供依據(jù)。

360在該企業(yè)原有的態(tài)勢感知平臺增加部署B(yǎng)AS安全驗證模塊，綜合多場景全面評估了企業(yè)的抗攻擊能力，實現(xiàn)對現(xiàn)網(wǎng)中邊界安全、內(nèi)網(wǎng)安全、終端安全及郵件安全的防護能力進行驗證，完成安全運營的閉環(huán)建設。

展開來說，在攻防演練中，采用安全驗證模塊，可以從實戰(zhàn)角度快速排查存在的安全隱患，并及時加固補強，提升自身摸底排查效率；在日常安全運營流程中，安全驗證模塊可以周期性針對現(xiàn)網(wǎng)安全防護能力進行安全驗證，持續(xù)提升防護能力。

安全度量可視，助力某電力企業(yè)降本增效

近年來，針對電力等關鍵信息基礎設施的網(wǎng)絡攻擊愈發(fā)頻繁，某電力企業(yè)網(wǎng)絡安全基礎設施已基本完善，通常采用滲透測試服務評估其安全防護能力，但存在周期長、費用高、維度少等缺陷，亟待需要周期自動化、維度多樣化、費用相對可控的評估服務。

通過便攜式BAS工具箱，模擬數(shù)百種攻擊手法對該企業(yè)現(xiàn)網(wǎng)的防護體系進行周期性安全防護能力驗證，基于驗證結(jié)果輸出安全評估報告及補強加固建議報告，不斷改善網(wǎng)絡安全運營環(huán)境；同時，基于攻擊全方位、應用實戰(zhàn)化的安全防護能力評估服務，為防護加固建設和安全投入方向提供詳實數(shù)據(jù)支撐，讓安全提升、安全投入看得見。

安全能力可見，實現(xiàn)某零售企業(yè)縱深防御

零售行業(yè)呈現(xiàn)線上線下融合發(fā)展趨勢，提出了從IT系統(tǒng)、經(jīng)營、金融到供應鏈的全方位數(shù)字化需求。某零售企業(yè)業(yè)務體系龐大，其安全體系建設相對完善，已部署大量安全設備，并且定期進行漏掃排查，但排查手段聚焦資產(chǎn)自身安全，缺乏針對該企業(yè)防護能力的實戰(zhàn)化驗證平臺。

360 BAS以實戰(zhàn)化安全驗證方式和資產(chǎn)漏洞排查手段互為補充，在重大活動前和活動中，全面保障安全運營的高效穩(wěn)定。憑借強大的安全專家團隊，針對熱門攻擊及時分析、提取、制作安全驗證用例，并安全應用到自身防護能力的評估，保證該企業(yè)防護體系的有效性。

此外，采用整體驗證和專項驗證結(jié)合的方式，同時考慮整體防御效果和單項防護能力，保證縱深防御的有效性和單類型設備的效用最大化，幫助該企業(yè)實現(xiàn)安全能力從被動式單點防護到主動式縱深防御的有序演進，并將進一步提升其面向?qū)崙?zhàn)的安全防護能力。

目前，360 BAS已廣泛服務于金融、能源、通信、政務等行業(yè)客戶。未來，360 BAS將充分發(fā)揮“安全度量標尺”的功能，為客戶構(gòu)建常態(tài)化安全驗證框架，評估、查漏、提升安全能力！

01

● 360砥礪探索數(shù)字安全中國方案

02

● 賽迪：360 EDR國內(nèi)份額第一！領跑終端安全市場

03

● 斬獲信創(chuàng)“大比武”大獎，360夯實通信業(yè)務安全基石

04

● 車聯(lián)網(wǎng)安全業(yè)務戰(zhàn)略升級，360為智能汽車安全出行護航