评估你的安全控制？一定要问正确的问题

测试安全控制是了解它们是否真的在保护您的组织的唯一方法。有很多不同的测试框架和工具可供选择，你有很多选择。

但你特别想知道什么？这些发现与你目前面临的威胁有何关联？

“决定你想知道什么，然后选择最适合这份工作的工具。”

安全团队通常使用几种不同的测试工具来评估基础设施。根据SANS的数据，69.9%的安全团队使用供应商提供的测试工具，60.2%使用笔式测试工具，59.7%使用国产工具和脚本。

而供应商提供的工具测试特定的安全解决方案—；无论是web应用程序防火墙（WAF）、EDR解决方案还是其他解决方案—；pen测试经常用于验证控制是否符合合规性要求，如PCI DSS法规，并由红色团队作为更广泛的测试评估和练习的一部分。

自动笔试有助于回答“攻击者能进入吗？”它们可以帮助识别进入环境的脆弱或高风险路径，但它们通常不覆盖整个杀死链。它们可以模拟多种威胁参与者技术，甚至不同的有效载荷，但它们通常不会复制并完全自动化真正威胁参与者的完整战术、技术和程序（TTP）。

自动笔测试依赖于具有不同专业水平的熟练人工笔测试人员，这使得随着时间的推移很难获得一致的数据。笔试工具和方法的种类繁多，实际上会使测试复杂化。例如，不同的攻击向量需要不同的测试工具。这些工具在识别业务逻辑中的漏洞方面往往很弱，这可能会扭曲结果。

对于组织来说，pen测试的成本很高，并且需要大量提前计划，这通常将其使用限制在年度或半年一次的测试中。即使实现了自动化，pen测试也需要时间来确定范围、进行和分析，从而降低了组织准确应对即时威胁的能力。

SANS调查发现，大多数受访者最多每季度测试一次他们的控制。然而，现实世界的威胁形势每天都在变化，给威胁留出了大量时间来利用计划评估之间的任何差距或弱点。如果你想了解安全控制的有效性—；现在—；你还将遇到笔试无法轻松回答的其他问题：

• 您的控件是否按预期工作？
• 相互依赖的控制是否正确生成和交付了正确的数据？例如，您的web网关、防火墙和基于行为的工具在检测到可疑活动时是否正确地向SIEM发出警报？
• 配置是否随时间推移而漂移或设置不正确？例如，控件是否主动检测威胁，或者是否处于监视模式？
• 如果你已经推出了新的技术或设置，它们是如何影响你的安全姿态的？
• 控制是否能够抵御最新的威胁和变种？
• 你的安全系统是否能抵御最新的秘密技术，比如老练的攻击者发起的陆地生活（LOTL）无文件攻击？
• 您是否了解需要人工流程和技术的安全结果？
• 您的蓝色团队是否能够识别并有效响应警报？

自动入侵和攻击模拟（BAS）工具使您能够回答这些问题。BAS补充了时间点测试，以不断挑战、测量和优化安全控制的有效性。BAS是自动化的，允许您根据需要进行测试，最好的解决方案基于最新的恶意软件种类和威胁因素TTP—；无需组建安全专家团队。组织正在使用BAS来：

• 在不危及生产环境的情况下模拟攻击
• 模拟整个杀戮链中针对所有威胁的攻击，包括最新的攻击者TTP
• 以针对特定媒介、基础设施和内部团队的灵活性持续测试，以提高对最新威胁的认识
• 自动化模拟以实现重复性和一致性
• 在任何时间间隔进行测试—；每小时、每天、每周或临时，结果以分钟为单位
• 识别差距并评估针对MITRE ATT&amp；CK框架
• 利用可采取行动的见解纠正安全态势和公司的风险敞口

当网络对手继续升级游戏时，你和你的执行团队需要确保整个杀戮链的控制确实提供了你需要的保护—；每一天，每一小时，每一刻。对于越来越多的组织来说，BAS正在提供实现该目标所需的持续安全控制和网络风险评估数据。