信息来源：4hou

一、攻击模拟技术介绍

一个组织保护自己免受网络攻击的最佳方法是像黑客一样思考和行动。有一种称为“突破与攻击模拟（BAS）”的新技术可以将您放在他们的位置。该技术允许任何组织成为他们自己的黑客，并对自己发起攻击。这个突破与攻击模拟平台允许通过多种攻击媒介进行安全测试，例如电子邮件，网页浏览，横向移动，社会工程，数据泄露，WAF等。一旦组织注册了模拟攻击平台，就只需下载一个代理即可开始评估。必须将组织域内的专用用户分配给将用于评估的代理，而无需任何人工干预。

二、风险评估那些事

SANS研究机构，最近进行的一项民意测验发现，安全从业人员认为改善安全测试的最大障碍是“缺乏定义测试的系统方法（例如，缺乏测试计划）。”事实上，这回响了我们从中得到的问题我们在会议上会见的安全专家以及组织开始进行自己的自动化安全测试的组织。

1、建立安全风险评估计划

那么，您如何建立有效的安全风险评估计划，以验证您的安全控制措施是否有效？以下是一些指南，可帮助您入门：

（1）利用290+ MITER ATT＆CK TM框架技术。通过有条不紊地对所有这些工具进行测试，您将知道已经掌握了基础知识。

（2）挑战整个杀伤链的防御控制。通过对整个攻击消除链进行系统测试，您可以衡量和优化部署在基础架构中的所有安全控制。

（3）模拟与您息息相关行业的APT组。通过模拟特定APT小组的工作方式，您可以解决你行业本身面临的安全问题，并不断调整控件以保持准备状态。

（4）模拟特定类型的威胁。用不同的有效负载和折衷方法挑战控件，可以帮助您解决最紧迫的问题。

（5）确保防御最新威胁。随着每天出现新的恶意软件压力，采用新的危害指标（IoC），我们有理由尽可能频繁地对它们进行测试

2、尽可能自动化

（1）创建攻击模拟模板，以针对某些威胁技术集测试安全控制。

（2）预先安排模拟以每小时，每天，每周等运行。

（3）自动化报告以通知已识别的漏洞，以及安全团队如何对其进行补救。管理层还可以自动接收有关最新评估的高级别的摘要

（4）设置自动警报，每当您偏离基准暴露分数时，该警报就会通知您。

3、选择正确的测试工具

有大量的红色团队工具，包括专有和开源的，可以帮助您测试基础结构，包括MITER Caldera，Red Canary Atomic Red Team和Metasploit Framework等。但是，它们需要一定的技术知识才能使用，提供的修复指南很少，并且不能用于确定优先级。

这就是突破与攻击模拟（BAS）平台发挥作用的地方，它消除了攻击模拟的复杂性，因此团队中的任何人都可以在全面的缓解指南的帮助下进行测试并解决发现的差距。

由于安全团队时间紧迫，BAS平台提供的测试，警报和报告自动化功能可确保您不断改善安全状况，而不会产生额外的开销。

三、模拟攻击系统

前面一直在理论知识，那么，模拟攻击系统到底有哪些功能点，如果你是企业的CSO你影响选择哪些方向做为主要发展方向？

个人理解模拟攻击系统应该有以下几个功能：

（1）有足够的多的攻击样本，并且保持这些样本是活跃的。样本分类：恶意软件、勒索软件、蠕虫、Payload、exploit等

（2）拥有足够多的渗透手段，例如：通过电子邮件投放，通过浏览器投放、通过钓鱼方式投放、通过对WAF渗透的方式投放、横向攻击方式投放、数据泄露场景投放等。

（3）拥有以上攻击样本和攻击手段，并且可以在1分钟内快速批量投放到目标系统。

（4）基于数据统计方式，了解ATT&CK 覆盖率。

（5）通过报告的形式把危险和建议展示给用户

威胁描述：

1.已知的常用的exploit在组织内部执行成功的占比

2.通用的恶意软件下载的payload在组织内部执行成功的占比

3.已知的RAT程序、勒索软件在终端执行后在组织内部执行成功的占比

4.横向攻击渗透成功率

5.模拟破坏性的程序在组织内部执行成功的占比

修复建议：

1.通过修改现有安全产品配置就能消除影响的建议

2.通过第三方安全解决方案介入才能解决问题的建议

3.内部失陷主机或者网络的排查建议

4.研究方向上，个人理解：横向攻击最为复杂，做好不容易，但是最有价值。

四、总结

攻击模拟是一款很好的企业安全照妖镜，妖魔鬼怪都现身吧。同时也是对企业安全防御系统的大考，量化没有发现的安全威胁。