安全复选框的终结：BAS 是真正防御背后的力量

安全不仅仅是防止漏洞；真正的失败发生在漏洞影响到你的系统时。这是今年 Picus 漏洞与模拟（BAS）峰会的关键信息，来自研究、实践和领导层的专家一致认为：网络防御现在需要证据而非仅仅预测。当新漏洞出现时，扫描器和攻击者动作极快，通常几分钟内就能实现横向移动。如果你的安全控制没有经过针对攻击者使用的具体战术的实战测试，你不是在防御——你只是在希望没有严重破坏。压力迅速增加，有时在漏洞公开的同一小时，决策者就需要立即答案。BAS 已经超越了合规检查，成为每日“电压测试”，通过受控的对抗行为穿透你的系统，揭示真正的防御状况。\n\n传统的安全方法更像建筑学：设计、构建、检查和用清单及文书认证。但攻击者不按计划行事；他们像物理学中的压力一样不断施压，测试防御的弯曲或断裂点。渗透测试仍有价值，但它们只是时间的快照。相比之下，BAS 测量反应——不仅是潜在漏洞，而是漏洞被触发时的真实表现。SANS 的 Chris Dale 总结道：BAS 不是问漏洞在哪里，而是问防御被击中时如何响应。因为造成损失的不是漏洞本身，而是漏洞落地后的后果。\n\n在模拟攻击者之前，你必须彻底了解自己的环境。你无法防御看不见的东西——无论是被遗忘的资产、未标记的账户，还是以高权限运行的遗留脚本。以 Akira 勒索软件攻击为例。通过在自己的系统中安全地重放其行为，你可以了解你的控制措施是否能中途阻断攻击，而不是猜测。成熟的 BAS 计划有两个关键原则：首先关注结果（从影响开始，而非仅仅是清单），其次将 BAS 视为紫队工作，情报、工程和运营持续协作——模拟、观察、调整，然后再模拟。正如 Texas Mutual 的 CISO John Sapp 所说，每周验证控制的团队从假设转向证据。\n\nAI 是峰会的热门话题，但不是为了炫耀新的攻击创造。真正的价值在于策划——将杂乱的威胁情报组织成可操作、可验证的计划。不是一个大 AI 模型，而是像接力赛一样由专家组成：规划者决定收集什么，研究员验证数据，构建者制作安全的仿真，验证者检查准确性后运行。这种分层方法确保高保真度和低风险。一个例子展示了 AI 如何将数周的手动交叉验证缩短到数小时——更快地将头条新闻转化为精确的仿真计划，而非更炫目。\n\n现实世界的证据是峰会的亮点。医疗团队运行与行业威胁情报相关的勒索软件模拟，测量检测和响应时间，调整 SIEM 和 EDR 设置，直到攻击提前中断。保险提供商周末运行 BAS 试点，验证端点隔离，发现了真实攻击者利用前的长期静默配置错误。这证明 BAS 不是实验室实验，而是日常安全运营的组成部分。当董事会问是否能防御某威胁时，你用证据而非猜测回答。\n\n一个难忘的时刻是回答经典董事会问题：“我们需要打补丁所有东西吗？”答案是坚决的否定。BAS 驱动的验证显示，打补丁所有漏洞不仅不现实，而且不必要。关键是知道哪些漏洞在你的特定环境中真正可被利用。高 CVSS 分数但有强控件的漏洞风险可能很小，而中等漏洞在暴露系统上可能是活跃攻击路径。这将补丁管理从基于假设转向基于证据——将持续威胁暴露管理从流行词变为战略。\n\n最后，BAS 不需要庞大复杂的部署就能开始创造价值。团队通常从小范围开始——聚焦关键范围如财务端点或生产集群——几周内即可见实效。重点不在于声势，而在于持续、经过验证的验证。实质上，“安全复选框”已死；BAS 是强大、响应式防御背后的真正力量。