几种安全评估方式的差异对比

在常规的网络安全工作中，我们时常要验证受保护区域的安全防护效果，评估安全建设防护水平，进而找到在后续工作中的重点优化提升方向，在这里，对常规使用的几种评估方式进行简要差异对比，涉及漏洞扫描、渗透测试、 突破与攻击模拟（BAS_Breach and Attack Simulation） 、对手仿真、网络安全能力评估、红蓝对抗。

• 工作重点差异

  • 漏洞扫描：侧重于自动化地发现系统中已知的安全漏洞，对系统进行全面的安全检测。
  • 渗透测试：模拟黑客攻击，主动利用漏洞来深入评估系统的安全性，不仅发现漏洞，还验证其可利用性。
  • BAS：通过模拟攻击者的各种手段和场景，全面测试网络防御的有效性，关注整个防御体系的弱点和应对能力。
  • 对手仿真：专注于模拟高级持续性威胁的战术、技术和程序，识别组织安全防御中针对特定对手的漏洞。
  • 网络安全能力评估：对组织的信息系统进行全面的风险评估，确定威胁和漏洞的优先级，为安全策略和资源分配提供依据。
  • 红蓝对抗：通过模拟真实的攻防场景，检验系统的整体安全防护能力、安全团队的应急响应能力和安全策略的有效性。

• 技术手段差异

  • 漏洞扫描：主要依赖自动化扫描工具，如Nmap、Nessus等，基于漏洞数据库进行检测。
  • 渗透测试：综合运用多种技术，包括漏洞扫描、社会工程、密码破解等，有白盒、黑盒、灰盒等测试方式。
  • BAS：融合多种攻击技术和流程，借助自动化工具进行攻击向量投递和评估，模拟复杂的攻击场景。
  • 对手仿真：依据已知高级持续性威胁的战术、技术和程序（模拟特定的TTP），使用相关的工具和平台进行模拟。
  • 网络安全能力评估：运用多种方法，如资产识别、威胁分析、风险评估矩阵等，结合安全审计和合规检查。
  • 红蓝对抗：红队使用多样化的攻击手段，如渗透测试工具、社会工程等；蓝队运用监控、检测和应急响应工具，如SIEM、EDR、入侵检测系统等。

• 频率差异&&成本差异

  • 漏洞扫描：可以定期进行，如每周、每月或每季度，也可在系统变更后进行扫描。
  • 渗透测试：通常有明确的时间安排，如每年进行1 – 2次，或在系统重大更新后进行。
  • BAS：可以持续进行，作为一种常态化的安全评估手段，实时监测网络防御的有效性，涉及安全基建或外包服务。
  • 对手仿真：根据需要不定期进行，当出现新的高级持续性威胁或需要评估特定防御能力时开展，需构建对某一对手安全手段模拟的全部能力。
  • 网络安全能力评估：一般定期进行，如每年进行，以确保组织的安全状况得到及时评估和改进。
  • 红蓝对抗：没有明确的时间限制，可以根据具体情况灵活调整对抗持续时间，如持续两周或半年等。

• 人员要求

  • 漏洞扫描：主要由安全运维人员操作扫描工具，对人员的技术要求相对较低。
  • 渗透测试：需要专业的渗透测试人员，具备丰富的黑客技术和安全知识，能够熟练运用各种测试工具和方法。
  • BAS：需要具备攻击者视角和安全运营能力的专业人员，能够设计和执行复杂的攻击模拟场景。
  • 对手仿真：要求操作人员熟悉高级持续性威胁的特点和战术，能够准确模拟其攻击行为。
  • 网络安全能力评估：需要综合型的安全专家，具备资产识别、风险评估、安全策略制定等多方面的知识和经验。
  • 红蓝对抗：需要攻防双方的专业团队，红队成员要擅长攻击技术，蓝队成员要熟悉防御和应急响应流程。

• 成果输出

  • 漏洞扫描：生成漏洞报告，列出发现的漏洞、风险等级和修复建议。
  • 渗透测试：提供详细的测试报告，包括发现的漏洞、攻击路径、影响程度和修复建议。
  • BAS：输出安全控制手段的弱点评估和量化评分，以及可操作性的缓解解决方案。
  • 对手仿真：给出识别出的安全漏洞和弱点，以及改进安全控制的建议。
  • 网络安全能力评估：形成全面的风险评估报告，确定威胁和漏洞的优先级，提出安全策略和资源分配的建议。
  • 红蓝对抗：红队输出攻击报告，蓝队总结检测和响应问题，双方共同制定改进计划。