我对突破与攻击模拟(BAS)技术的几点思考:
1. BAS 仅适用于对传统风险验证技术的补充
从市场的角度看,这个是一个很不讨好的特点,对于创业公司来说,BAS要抢占的甲方预算只能是等保、内审、渗透攻防之外的预算。据我了解,这部分预算不会太多,而且比较鸡肋。
2. BAS 的核心价值在于对APT攻防能力的共享和验证
BAS 的产品经理一定面临一个问题,向客户解释:
- 我的产品和漏扫有什么区别?
- 我的产品和渗透测试有什么区别?
这是个绕不过去的话题,我觉得面对这个问题的最佳答案是:”我可以给你提供APT级别的攻防测试,只花掉你很少的钱“。
BAS的商业模式也类似于餐饮行业的中央厨房,全社会可能只有很少的几家BAS厂商,养一个很大的安全分析团队,生产APT级别的威胁情报。社会上的其他公司只需要花很少的钱即可获取这些情报,并且验证自身安全能力,一起为安全分析团队的工作买单。
3. BAS 代表APT级别的防守能力建设,技术门槛高
这里从两个角度看问题,对甲方公司而言,APT级别的攻防就意味着:用得上的不会买,用不上的更不会买。
- 很大部分甲方公司的安全团队都不面临来自APT组织的威胁(APT组织看不上)
- 面临APT攻击的组织一般都有自己的安全团队,针对APT威胁的防守能力倾向于自己实现。
对乙方创业公司而言,APT级别的安全分析师成本极高,而且在没有大客户的情况下,比较难遇到APT的溯源任务。
4. 我不看好BAS在国内的发展
原因在于:没有APT级别的攻防,安全工程师的价值很难体现。
如果企业的目标是为了过等级保护和平稳度过一年一次的HW演习的话,这个中央厨房运转不起来,BAS的商业模式也就不存在了。
以下是我关于BAS分享的PPT,行文仓促,请君查阅,并请赐教。