[資安服務] 003 BAS(Breach and Attack Simulation) 入侵與攻擊突破模擬與其他資安服務比較

常見的資安服務

市面上除了有「弱點掃描」、「滲透測試」、「紅隊演練」三種資安檢測服務,這些服務都是以「駭客的攻擊角度」去檢測企業的網站、系統、網路環境,並且都是以「人力為主」的服務架構,服務價錢根據企業環境程度有所不同。

BAS(Breach and Attack Simulation)

透過新種服務型態:BAS(Breach and Attack Simulation),這是一種在 2017 年開始興起的新興技術應用, BAS 為滲透與攻擊模擬的自動化與智慧化,也是作為「入侵與攻擊突破模擬」。

BAS 技術的主要優勢在於以有限的風險提供連續測試,該技術可用於警告 IT 部門和業務利益相關者,有關「安全狀況方面」的現有差距,或驗證安全基礎結構、安全規劃和防禦技術是否按預期執行。

常見資安服務比較

以上為四種資安服務的差別與優勢,而 BAS 作為資安服務的優勢如下:

  1. 被定義為可自動模擬駭客進行多面向攻擊的一種工具:
    • 以有限的風險提供自動化、持續化、流程化與智慧化特性的工具,亦可以檢測防禦設備的有效性。
  2. BAS 工具讓企業人員能全天候持續性的進行入侵與攻擊模擬​:
    • 攻擊模擬範圍可能涵蓋各類外部威脅、橫向移動、資料外洩與漏洞利用等,可以了解資安風險,主動識別安全漏洞,取得企業內部高度敏感資產的攻擊路徑。
  3. 讓企業了解可能遭受攻擊的環節,採購與部署防護設備:
    • 除了驗證安全基礎結構、安全規劃和防禦技術是否確實執行,也讓企業能直覺了解缺乏的項目所在,明白安全狀況方面現有的差距,透過結果來採購與部署適合的防護設備,有效減少資安層面上的重複或錯誤投資。
林子婷(飛飛/Phoebe菲比)
林子婷(飛飛/Phoebe菲比)

技術專長:OSINT、滲透測試、網站開發、專業易懂教育訓練。
資安證照:OSCE3、OSED、OSWE、OSEP、OSCP、OSTH、OSWA、OSWP、OSCC、OSCC-SJD。
資安書籍:《資安這條路:領航新手的 Web Security指南》。
教學經驗:50+ 企業教學經驗、指導過上百位學員。
教學特色:新手友善、耐心指導、擅長圖解(流程圖、心智圖)引導學習。
社群經驗:目前經營全臺資安社群 CURA,曾任臺科資安社社長、逢甲黑客社社長。
社群交流:Line 社群《飛飛的資安大圈圈》,即時分享經驗、鼓勵交流。
社群分享:FB 粉專《資安這條路,飛飛來領路》,分享文章與圖卡整理。
資安網站:feifei.tw 資安系列文章