Что представляет собой технология Breach and Attack Simulation (BAS)?

Что представляет собой технология Breach and Attack Simulation (BAS)?

«Эффективность коммерческого тестирования на проникновение ограничена, поскольку тестирование требует значительного участия человека, имеет ограниченную продолжительность и частоту, и часто проводится только ежегодно», - Gartner

Переполненный рынок безопасности создает путаницу и затрудняет выбор продуктов и услуг безопасности, оставляя пользователей неуверенными в эффективности решений.

Приоритетность инвестиций в кибербезопасность и фокусирование ее стратегии – самая большая проблема для многих организаций, потому что программы оценки уязвимостей и тесты на проникновение не связывают риски с бизнес-метриками и не делают их «удобочитаемыми» для результатов высшего руководства.

Оценка эффективности приобретенных продуктов и услуг в области кибербезопасности часто представляет собой игру, в которой мало эмпирических данных, доступных для информирования при принятии решений и облегчения управления рисками.

Безопасная сетевая архитектура должна следовать философии глубокой защиты и иметь несколько уровней превентивного контроля.

Невозможно избежать каждой атаки, и иногда превентивный контроль дает сбой. Хотя межсетевой экран предотвращает попадание определенного трафика в сеть, если неавторизованный трафик может каким-то образом обойти эти превентивные меры, он не будет идентифицирован, если журналы не будут вовремя собраны и просмотрены для обнаружения атаки. По этой причине важно, чтобы комплексная архитектура защиты включала элементы управления обнаружения, предназначенные для мониторинга и предупреждения об аномальных действиях.

Обнаружение сетевого вторжения не достигается за счет реализации одной технологии. Создание четко определенной программы по моделированию атак и взломов позволяет организациям определять вредоносный или аномальный трафик в сети и определять, как аналитик должен реагировать на этот тип трафика.

При проведении этого типа тестирования важно создать трафик, имитирующий текущие методы атаки. В результате необходимости появления нового типа выявления лазеек для злоумышленников и появились новые сервисы, которые помогают организациям оценить эффективность процедур безопасности, инфраструктуры, уязвимостей и методов с помощью моделирования атак и взломов.

В последние годы на рынке появляется все больше и больше поставщиков так называемых платформ моделирования взлома и атак. В 2017 году Gartner включил моделирование взломов и атак в качестве новой категории в «Цикл решений для технологий противодействия угрозам», и было даже подтверждено, что моделирование взломов и атак может стать мейнстримом в течение следующих 10 лет. Некоторые даже говорят о технологической революции, которая коренным образом изменит подход компаний к анализу своего статуса безопасности в будущем.

Что такое Breach and Attack Simulation?

Breach and Attack Simulation (BAS) – это новый способ тестирования усилий по обеспечению ИТ-безопасности, который имитирует действия реальных атак, чтобы определить, действительно ли различные меры безопасности компании служат своей цели.

Эти платформы позволяют организациям выполнять непрерывное моделирование кибербезопасности по запросу в любое время, не влияя на производственные системы. Они имитирует множественные атаки, внутренние или внешние, атакующие самыми последними способами выявления уязвимостей. Эти смоделированные атаки выявляют бреши в безопасности, которые позволяют организации определить, обеспечивает ли архитектура безопасности адекватную защиту и правильно ли реализованы конфигурации. В целом платформы для моделирования взломов и атак стали мощными союзниками групп по кибербезопасности организации.

Существует три различных типа решений BAS:

Агентные BAS-решения

Решения на основе агентов – это простейшая форма BAS. Агенты развертываются в локальной сети, и с их помощью выявляются уязвимости, чтобы определить, какие маршруты открыты для потенциального злоумышленника для перемещения по сети. Решение BAS на основе агентов очень похоже на сканирование уязвимостей, но предлагает гораздо больше контекста.

Решения BAS на основе «вредоносного» трафика

Эти решения BAS генерируют интрузивный трафик в сети между выделенными виртуальными машинами, которые служат целями для широкого спектра сценариев атак. Затем создается обзор событий, которые не были обнаружены и заблокированы средствами собственной безопасности компании. Как и в случае с решениями BAS на основе агентов, вы получаете информацию о том, как злоумышленник может двигаться, если войдет в сеть.

Облачные решения BAS

Решения BAS, основанные на облаке, наиболее близки к реальной атаке. Они моделируют множество сценариев атак извне через разные точки входа. (так называемые многовекторные атаки) и, следовательно, тестируют весь сетевой периметр компании. Облачные платформы получают самые свежие угрозы из самых разных источников и поэтому всегда актуальны. Будучи решениями SaaS, они могут быть очень быстро реализованы.

Какие проблемы могут решить инструменты BAS?

Решения BAS дают компаниям ответ на вопрос: «Действительно ли наши программы кибербезопасности работают? Крупные компании вкладывают значительные средства в продукты безопасности, но все еще не могут быть на 100% уверены, что смогут противостоять все более изощренным атакам. По финансовым и практическим причинам также невозможно постоянно и вручную тестировать всю производственную среду предприятия на наличие уязвимостей. Моделирование взломов и атак заполняет именно этот пробел и позволяет компаниям максимально эффективно использовать существующие решения по обеспечению безопасности, обеспечивая непрерывное тестирование корпоративной сети с низким уровнем риска.

Для каких компаний подходят решения BAS?

Если вы посмотрите на рынок BAS, вы обнаружите, что многие предложения предназначены для крупных корпоративных клиентов с высокими требованиями к безопасности, таких как финансовые учреждения и страховые компании. Неудивительно, что моделирование взлома и атак особенно интересно для такого рода компаний. Как правило, они имеют множество используемых продуктов безопасности, динамичный ИТ-ландшафт и высокий уровень ИТ-зрелости. Кроме того, существуют высокие требования к ИТ-безопасности и жесткое соблюдение нормативных требований. Высококачественные решения, такие как Breach и Attack Simulation, созданы для этой среды.

Какое решение класса BAS рекомендуем мы?

На все еще очень молодом рынке BAS процветает ряд компаний и стартапов, в основном из Израиля и США. Ниже мы бы хотели представить избранного ESKA поставщика решений – Cymulate.

Cymulate –платформа имитации взломов и кибер атак

Полностью автоматизированный и настраиваемый, Cymulate бросает вызов вашим средствам управления безопасностью по всей цепочке уничтожения атак с тысячами смоделированных кибератак, как обычных, так и новых.

Отмеченная наградами платформа моделирования взломов и атак на основе SaaS позволяет легко узнать все бреши вашей стратегии кибербезопасности и легко ее оптимизировать.

Моделирование атак от Cymulate проводит тесты не только внутренней, но и внешней защиты. Таким образом вы можете узнать конкретные места, в которых оказались уязвимы, а система подскажет, как это можно исправить. Cymulate сократит циклы тестирования, ведь в его распоряжении находится технология противодействия нарушениям, позволяющая сделать безопасность быстрой и непрерывной частью повседневной деятельности компании. Кроме того, с помощью Cymulate руководители службы безопасности смогут принять упреждающий подход к своей кибер-позиции, всегда оставаясь на шаг впереди от злоумышленников и легко проверяя эффективность своих текущих мер безопасности.

Каковы основные возможности, предоставляемые платформой Cymulate?

Проверяет защиту от полной цепочки атак и взломов. Cymulate разделили поверхность атаки на девять векторов. Эти вектора могут быть запущены одновременно, или по отдельности, что позволяет имитировать полную расширенную постоянную угрозу (APT). Таким образом, в безопасной для предприятия среде, Cymulate воспроизводит методы действий настоящих киберпреступников, проверяя как и внутренний, так и внешний контроль безопасности.

Это позволяет охватить весь спектр киберугроз, от программ-вымогателей до банковских троянов, SQL-инъекций, и многих других.

Простые для понимания KPI показатели. После того, как была проведена оценка, программа Cymulate создает шкалу, отражающую силу потенциальных угроз проверяемым ресурсам или системам. Величина потенциальных угроз от Cymulate рассчитывается с использованием отраслевых стандартов, таких как NIST Risk Management Framework, CSVSS v3.0 Calculator, Microsoft DREAD и MITRE ATT & CK Framework.

Возможность настроить атаку в соответствии с индивидуальными потребностями организации. Вы можете сами выбрать векторы атаки и настроить ее в соответствии с потребностями вашей организации, протестировав действующие средства защиты на предмет противодействия конкретным угрозам или их компонентам. Благодаря этому оценка становится намного более эффективной, а устранение становится еще быстрее.

Комплексность отчетности и быстрота оповещения. В конце каждой оценки составляется техническое и исполнительное резюме, необходимое для демонстрации окупаемости инвестиций и выполнения нормативных требований индустрии.

Особенности Cymulate

  • Развертывается за считанные минуты;
  • Простота в использовании;
  • Один агент, неограниченное количество атак;
  • Платформа на основе SaaS;
  • Выполняется автоматически или по запросу;
  • Самые последние угрозы могут быть смоделированы с помощью нескольких щелчков мышью.

Как мы видим, Cymulate – это платформа с невероятным потенциалом, которая поможет вам как и в соблюдении нормативных требований, так и проверит вашу кибербезопасность и поможет вам переосмыслить вашу стратегию безопасности на следующий год.

Подробнее о Cymulate

Вебинар Cymulate