Що являє собою технологія Breach and Attack Simulation (BAS)?
"Ефективність комерційного тестування на проникнення обмежена, оскільки тестування вимагає значної участі людини, має обмежену тривалість і частоту, і часто проводиться тільки щорічно", - Gartner
Переповнений ринок безпеки створює плутанину і ускладнює вибір продуктів і послуг безпеки, залишаючи користувачів невпевненими в ефективності рішень.
Пріоритетність інвестицій у кібербезпеку і фокусування її стратегії - найбільша проблема для багатьох організацій, тому що програми оцінювання вразливостей і тести на проникнення не пов'язують ризики з бізнес-метриками та не роблять їх "читабельними" для результатів вищого керівництва.
Оцінювання ефективності придбаних продуктів і послуг у сфері кібербезпеки часто є грою, у якій мало емпіричних даних, доступних для інформування під час ухвалення рішень і полегшення управління ризиками.
Безпечна мережева архітектура повинна слідувати філософії глибокого захисту і мати кілька рівнів превентивного контролю.
Неможливо уникнути кожної атаки, і іноді превентивний контроль дає збій. Хоча міжмережевий екран запобігає потраплянню певного трафіку в мережу, якщо неавторизований трафік може якимось чином обійти ці превентивні заходи, його не ідентифікуватимуть, якщо журнали не будуть вчасно зібрані та переглянуті для виявлення атаки. З цієї причини важливо, щоб комплексна архітектура захисту включала елементи управління виявлення, призначені для моніторингу та попередження про аномальні дії.
Виявлення мережевого вторгнення не досягається за рахунок реалізації однієї технології. Створення чітко визначеної програми з моделювання атак і зломів дає змогу організаціям визначати шкідливий або аномальний трафік у мережі та визначати, як аналітик має реагувати на цей тип трафіку.
Під час проведення цього типу тестування важливо створити трафік, що імітує поточні методи атаки. Унаслідок необхідності появи нового типу виявлення лазівок для зловмисників і з'явилися нові сервіси, які допомагають організаціям оцінити ефективність процедур безпеки, інфраструктури, вразливостей і методів за допомогою моделювання атак і зломів.
Останніми роками на ринку з'являється дедалі більше постачальників так званих платформ моделювання злому й атак. У 2017 році Gartner включив моделювання зломів і атак як нову категорію до "Циклу рішень для технологій протидії загрозам", і було навіть підтверджено, що моделювання зломів і атак може стати мейнстрімом протягом наступних 10 років. Деякі навіть говорять про технологічну революцію, яка докорінно змінить підхід компаній до аналізу свого статусу безпеки в майбутньому.
Що таке Breach and Attack Simulation?
Breach and Attack Simulation (BAS) - це новий спосіб тестування зусиль із забезпечення ІТ-безпеки, що імітує дії реальних атак, щоб визначити, чи дійсно різні заходи безпеки компанії служать своїй меті.
Ці платформи дозволяють організаціям виконувати безперервне моделювання кібербезпеки за запитом у будь-який час, не впливаючи на виробничі системи. Вони імітують множинні атаки, внутрішні або зовнішні, що атакують найостаннішими способами виявлення вразливостей. Ці змодельовані атаки виявляють проломи в безпеці, які дають змогу організації визначити, чи забезпечує архітектура безпеки адекватний захист і чи правильно реалізовані конфігурації. Загалом платформи для моделювання зломів і атак стали потужними союзниками груп з кібербезпеки організації.
Існує три різні типи рішень BAS:
Агентні BAS-рішення
Рішення на основі агентів - це найпростіша форма BAS. Агенти розгортаються в локальній мережі, і з їхньою допомогою виявляють уразливості, щоб визначити, які маршрути відкриті для потенційного зловмисника для переміщення мережею. Рішення BAS на основі агентів дуже схоже на сканування вразливостей, але пропонує набагато більше контексту.
Рішення BAS на основі "шкідливого" трафіку
Ці рішення BAS генерують інтрузивний трафік у мережі між виділеними віртуальними машинами, які слугують цілями для широкого спектра сценаріїв атак. Потім створюється огляд подій, які не були виявлені та заблоковані засобами власної безпеки компанії. Як і у випадку з рішеннями BAS на основі агентів, ви отримуєте інформацію про те, як зловмисник може рухатися, якщо увійде в мережу.
Хмарні рішення BAS
Рішення BAS, засновані на хмарі, найбільш близькі до реальної атаки. Вони моделюють безліч сценаріїв атак ззовні через різні точки входу. (так звані багатовекторні атаки) і, отже, тестують весь мережевий периметр компанії. Хмарні платформи отримують найсвіжіші загрози з найрізноманітніших джерел і тому завжди актуальні. Будучи рішеннями SaaS, вони можуть бути дуже швидко реалізовані.
Які проблеми можуть вирішити інструменти BAS?
Рішення BAS дають компаніям відповідь на питання: "Чи справді наші програми кібербезпеки працюють? Великі компанії вкладають значні кошти в продукти безпеки, але все ще не можуть бути на 100% впевненими, що зможуть протистояти дедалі витонченішим атакам. З фінансових і практичних причин також неможливо постійно і вручну тестувати все виробниче середовище підприємства на наявність вразливостей. Моделювання зломів і атак заповнює саме цю прогалину і дає змогу компаніям максимально ефективно використовувати наявні рішення із забезпечення безпеки, забезпечуючи безперервне тестування корпоративної мережі з низьким рівнем ризику.
Для яких компаній підходять рішення BAS?
Якщо ви подивитеся на ринок BAS, ви виявите, що багато пропозицій призначені для великих корпоративних клієнтів з високими вимогами до безпеки, таких як фінансові установи та страхові компанії. Не дивно, що моделювання злому й атак особливо цікаве для такого роду компаній. Як правило, вони мають безліч використовуваних продуктів безпеки, динамічний ІТ-ландшафт і високий рівень ІТ-зрілості. Крім того, існують високі вимоги до ІТ-безпеки та жорстке дотримання нормативних вимог. Високоякісні рішення, такі як Breach і Attack Simulation, створені для цього середовища.
Яке рішення класу BAS рекомендуємо ми?
На все ще дуже молодому ринку BAS процвітає низка компаній і стартапів, переважно з Ізраїлю та США. Нижче ми б хотіли представити обраного ESKA постачальника рішень - Cymulate.
Cymulate -платформа імітації зломів і кібер атак
Повністю автоматизований і настроюваний, Cymulate кидає виклик вашим засобам управління безпекою по всьому ланцюжку знищення атак з тисячами змодельованих кібератак, як звичайних, так і нових.
Відзначена нагородами платформа моделювання зломів і атак на основі SaaS дає змогу легко дізнатися про всі проломи вашої стратегії кібербезпеки та легко її оптимізувати.
Моделювання атак від Cymulate проводить тести не тільки внутрішнього, а й зовнішнього захисту. Таким чином ви можете дізнатися конкретні місця, в яких виявилися вразливими, а система підкаже, як це можна виправити. Cymulate скоротить цикли тестування, адже в його розпорядженні перебуває технологія протидії порушенням, що дає змогу зробити безпеку швидкою і безперервною частиною повсякденної діяльності компанії. Крім того, за допомогою Cymulate керівники служби безпеки зможуть прийняти випереджувальний підхід до своєї кібер-позиції, завжди залишаючись на крок попереду від зловмисників і легко перевіряючи ефективність своїх поточних заходів безпеки.
Які основні можливості, що надаються платформою Cymulate?
Перевіряє захист від повного ланцюжка атак і зломів. Cymulate розділили поверхню атаки на дев'ять векторів. Ці вектори можуть бути запущені одночасно, або окремо, що дозволяє імітувати повну розширену постійну загрозу (APT). Таким чином, у безпечному для підприємства середовищі, Cymulate відтворює методи дій справжніх кіберзлочинців, перевіряючи як і внутрішній, так і зовнішній контроль безпеки.
Це дає змогу охопити весь спектр кіберзагроз, від програм-здирників до банківських троянів, SQL-ін'єкцій, і багатьох інших.
Прості для розуміння KPI показникі. Після того, як було проведено оцінку, програма Cymulate створює шкалу, що відображає силу потенційних загроз перевіреним ресурсам або системам. Величина потенційних загроз від Cymulate розраховується з використанням галузевих стандартів, таких як NIST Risk Management Framework, CSVSS v3.0 Calculator, Microsoft DREAD і MITRE ATT & CK Framework.
Можливість налаштувати атаку відповідно до індивідуальних потреб організації. Ви можете самі вибрати вектори атаки і налаштувати її відповідно до потреб вашої організації, протестувавши чинні засоби захисту на предмет протидії конкретним загрозам або їх компонентам. Завдяки цьому оцінка стає набагато ефективнішою, а усунення стає ще швидшим.
Комплексність звітності та швидкість оповіщення. Наприкінці кожного оцінювання складається технічне та виконавче резюме, необхідне для демонстрації окупності інвестицій і виконання нормативних вимог індустрії.
Особливості Cymulate
· Розгортається за лічені хвилини;
· Простота у використанні;
· Один агент, необмежена кількість атак;
· Платформа на основі SaaS;
· Виконується автоматично або за запитом;
· Найостанніші загрози можна змоделювати за допомогою декількох клацань мишею.
Як ми бачимо, Cymulate - це платформа з неймовірним потенціалом, яка допоможе вам як і в дотриманні нормативних вимог, так і перевірить вашу кібербезпеку і допоможе вам переосмислити вашу стратегію безпеки на наступний рік.