SIEM 平台作为安全运营中心的技术支撑,在企业安全运营工作中正扮演着举足轻重的角色。当你的SIEM系统频繁告警或者默不做声时,是否担心过这些检测规则可能形同虚设?
如何有效验证检测规则的有效性,已成为企业安全运营面临的核心挑战。为应对此难题,一项名为“安全运营验证”的专业服务应运而生,其核心技术正是入侵与攻击模拟(BAS)。
华讯网络已将BAS的推广和落地纳入到解决方案交付名录之中。在与众多企业的交流中我们发现,尽管市场对BAS技术的兴趣日益浓厚,但许多企业对采购整套解决方案的长期资本与运营支出有所顾虑。
这些企业更倾向于采用按需、定制化的服务模式,在关键节点对局部安全检测能力进行精准验证,从而优化资源配置与投资回报率。
为满足这一市场需求,华讯网络顺势推出“华讯BAS服务”,旨在为客户提供一种轻量化、高效率的安全运营验证路径。
华讯 BAS 服务已在多个项目中为客户提供
SIEM 用例的有效性验证服务
我们通过调研客户需要验证的网络环境与适用的SIEM检测规则,结合MITRE ATT&CK等攻击技术框架体系,拟定适用的攻击框架与技术实现过程。
定制化手动 BAS 服务流程大致分为以下几个阶段:
1
BAS场景建模:确认需要通过 BAS 验证的 SIEM 检测规则范围,以及参与测试的企业IT环境。确认 SIEM 检测规则所针对的威胁行为以及触发条件,并拟定BAS方案。
2
BAS环境准备:
a) 计算资源准备:在参测企业IT环境中按需准备攻击靶机,并确认BAS方案涉及的攻击路径符合调研预期。
b) BAS流程准备:确认攻击实施时间,攻击特征及对象,攻击报备流程等准备工作。
3
BAS攻击实施:基于BAS方案,针对目标靶机,展开攻击模拟行为。攻击特征和攻击频次需要符合 SIEM 用例的检测逻辑。在 SIEM 平台上确认检测规则触发,且确认触发时间与触发对象与BAS攻击行为一致。
4
BAS报告输出:提供专业的 BAS 验证报告。说明 BAS 范围、使用的攻击手段、SIEM 用例触发情况、SIEM用例优化建议等。
在执行手动入侵与攻击模拟(BAS)时,我们发现部分SIEM检测规则虽逻辑合理,却未能触发告警。究其原因,通常是企业安全规则的持续演进与优化,无意中覆盖或抑制了先前的检测逻辑(如基于阈值的规则)。此现象看似偶然,实则是安全环境动态变化的必然结果。
因此,面对持续迭代的内部架构与不断演变的外部威胁,对SIEM平台进行定期的健康度评估与有效性验证,是确保其持续发挥价值的必要措施。
随着企业信息安全建设从“合规”走向“实战”。越来越多的企业信息安全从业人员,不再只关注是否采购并部署了某个安全工具,而是需要验证该安全工具的效能是否符合预期。
BAS技术是确保SIEM持续有效的核心手段。华讯BAS服务通过持续性攻击模拟,主动验证并量化用户SIEM规则的真实防御水平,帮助用户精准识别并修复检测盲点,将安全预算转化为可见的防御成果。
