汽车制造商不相信设计蓝图。他们会反复将原型车撞向墙壁,而且是在受控环境下进行。
因为设计规格无法证明安全性,碰撞测试才行。它们能区分理论与现实。网络安全也不例外。仪表盘上满是“严重”的暴露警报,合规报告则勾选了所有选项。
但这些都无法证明对首席信息安全官而言最为重要的事情:
- 针对你们行业的勒索软件团伙一旦侵入,就无法横向移动。
- 新发布的CVE漏洞利用不会在明天早上绕过你的防御措施。
- 这些敏感数据不会通过隐秘的渗透渠道被窃取,从而避免企业面临罚款、诉讼和声誉损失。
这就是为什么漏洞与攻击模拟(BAS)至关重要。
BAS是对您安全架构的碰撞测试。它能安全模拟真实的攻击行为,以验证您的防御系统可以阻止哪些攻击,以及哪些攻击会突破防御。它能在攻击者利用这些漏洞或监管机构要求给出解释之前,暴露这些安全缺口。
安全的假象:没有碰撞测试的仪表盘
充满风险敞口的数据仪表盘可能会给人一种安心的感觉,仿佛你看到了所有情况,仿佛你是安全的。但这是一种虚假的安慰。这就好比只看汽车的规格表就宣称它“安全”,却从未以每小时60英里的速度让它撞向墙壁。在纸面上,设计看起来无懈可击。但在实际中,撞击会暴露出车架在哪里变形、安全气囊在哪里失效。
《2025年蓝色报告》提供了企业安全的碰撞测试数据。基于1.6亿次对手模拟,它展示了在对防御措施进行实际测试(而非假设)时的真实情况:
- 预防率在一年内从69%降至62%。 即使是拥有成熟控制措施的组织也出现了倒退。
- 54%的攻击者行为未生成任何日志。 整个攻击链在完全没有可见性的情况下展开。
- 仅14%触发了警报。这意味着大多数检测流程悄无声息地失效了。
- 数据泄露仅在3%的情况下被阻止。 这个直接涉及财务、监管和声誉后果的阶段实际上处于未受保护的状态。
这些并非仪表盘所揭示的差距。它们是只有在压力下才会显现的可被利用的弱点。
正如碰撞测试会暴露设计蓝图中隐藏的缺陷一样,安全验证会在攻击者、监管机构或客户发现之前,揭示那些在现实世界影响下站不住脚的假设。
BAS 作为安全验证引擎
碰撞测试不仅能暴露缺陷,还能证明安全系统会在最需要的时候启动。 breach and Attack Simulation(BAS,即漏洞与攻击模拟)对于企业安全而言,作用也是如此。
BAS不会等待真正的漏洞出现,而是持续运行安全、可控的攻击场景,模拟攻击者的实际操作方式。它不涉及假设,而是提供证据。
对于首席信息安全官(CISO)而言,这种证据至关重要,因为它能将焦虑转化为安心:
- 无需为带有可行概念验证的公开CVE而彻夜难眠。 BAS会展示您的防御措施在实际中是否能阻止它。
- 无需猜测席卷您所在行业的勒索软件攻击是否会渗透您的环境。BAS会安全地模拟这些攻击行为,并判断您是否会成为受害者。
- 对未来的威胁报告中的未知因素无所畏惧。 BAS 可验证防御措施对已知技术和在实际环境中发现的新兴技术的有效性。
这就是安全控制验证(SCV)的准则:证明投资在关键之处能够经受住考验。BAS是使SCV实现持续性和可扩展性的引擎。
仪表盘可能会显示态势。BAS则揭示性能。通过指出您防御中的盲点,它为首席信息安全官提供了仪表盘永远无法提供的东西:专注于真正重要的风险暴露的能力,以及向董事会、监管机构和客户证明韧性的信心。
实践证明:BAS在业务端的影响
BAS驱动的暴露验证表明,当假设让位于证据时,能够消除多少噪声:
- 积压的9500个CVSS“严重”漏洞发现缩减至仅1350个被证实相关的风险点。
- 平均修复时间(MTTR)从45天降至13天,在攻击者发动攻击前缩小暴露窗口。
- 回滚从每季度11次降至2次,节省了时间、预算和信誉。
而当与像皮卡斯暴露评分(PXS)这样的优先级排序模型结合使用时,清晰度会更高:
- 在标记为高风险/严重风险的漏洞中,有63%经过验证后,只有10%仍为真正的严重风险,虚假紧急情况减少了84%。
对于首席信息安全官而言,这意味着他们不必再为日益繁杂的仪表盘而辗转难眠,并且能更有信心地将资源集中在最重要的风险暴露上。
BAS将海量数据转化为经过验证的风险图景,让高管们可以信赖。
结语:不只是监控,更要模拟
对于首席信息安全官(CISOs)而言,挑战不在于可见性,而在于确定性。董事会不会要求查看仪表盘或扫描评分,他们希望得到保证,即在最关键的时刻,防御措施能够奏效。
这正是BAS重新定义对话的地方:从态势到证据。
- 从“我们部署了防火墙”→到“本季度,我们通过500次模拟尝试证明了它能拦截恶意的C2流量。”
- 从“我们的EDR覆盖MITRE框架”到“我们检测出了模拟的Scattered Spider APT组织72%的行为;以下是我们针对其余28%所做的改进。”
- 从“我们合规”→到“我们具备韧性,并且我们可以用证据证明这一点。”
这种转变正是BAS能引起高管层共鸣的原因。它将安全从假设转变为可衡量的结果。董事会不买账姿态,他们只认证据。
而建筑设备监控系统(BAS)正在进一步发展。借助人工智能,它不再仅仅是证明防御措施在过去是否有效,而是能够预测这些措施在未来将如何发挥作用。
想要见证这一切的实际应用,请加入Picus Security、SANS、Hacker Valley以及其他行业领先声音,共同参与2025年Picus BAS峰会:通过人工智能重新定义攻击模拟。这场虚拟峰会将展示BAS与人工智能如何共同塑造安全验证的未来。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
