Å forsvare organisasjoner mot cyberangrep er skremmende, spesielt når de har å gjøre med store organisasjoner med mange systemer som ondsinnede aktører kan målrette mot.
Vanligvis er forsvarere avhengige av blå og røde teaming, samsvarstesting og penetrasjonstesting, blant andre sikkerhetstestingsmetoder for å evaluere hvordan deres forsvar vil holde opp mot angrep. Slike metoder har den ulempen at de er ressurskrevende, manuelle og tidkrevende og kan derfor ikke gjøres annenhver dag.
Breach and Attack Simulation (BAS) er et avansert cybersikkerhetsverktøy som lar organisasjoner bruke programvareagenter til kontinuerlig å simulere og automatisere et bredt spekter av cyberangrep mot systemet deres og få informasjonsrapporter om eksisterende sårbarheter, hvordan de ble utnyttet av programvareagentene og hvordan de kan rettes opp.
BAS tillater simulering av hele angrepssykluser fra malware-angrep på endepunkter, innsidetrusler, sidebevegelser og eksfiltrering. BAS-verktøy automatiserer funksjonene som utføres av det blå teamet og de røde teammedlemmene i et cybersikkerhetsteam.
I sikkerhetstesting etterligner røde teammedlemmer ondsinnede angripere og prøver å angripe systemer for å identifisere sårbarheter, mens blå teammedlemmer forsvarer seg mot angrep fra røde teamere.
Innholdsfortegnelse
Hvordan en BAS-plattform fungerer
For å simulere angrep på datasystemer kommer BAS-programvare med forhåndskonfigurerte cyberangrep basert på kunnskap, forskning og observasjoner om hvordan angripere kompromitterer og angriper datasystemer.
Mange BAS-programvare bruker MITER ATT&CK-rammeverket, en globalt tilgjengelig kunnskapsbase som inneholder taktikken og teknikkene som er lært fra virkelige observasjoner av cyberangrep. Rammeverket har også en retningslinje for klassifisering og beskrivelse av cyberangrep og inntrenging i datasystemer.
I en BAS-simulering blir forhåndskonfigurerte angrep utplassert på målsystemet. Disse forhåndskonfigurerte angrepene emulerer virkelige angrep, men gjør det trygt med lav risiko uten å forstyrre tjenesten. For eksempel, når den distribuerer skadelig programvare, vil den bruke sikre kopier av kjent skadelig programvare.
I en simulering dekker programmet hele livssyklusen til cyberangrep. Jeg vil utføre rekognosering for å forstå det underliggende systemet, skanne etter sårbarheter og prøve å utnytte disse sårbarhetene. Mens det gjør dette, genererer BAS også sanntidsrapporter som beskriver sårbarhetene som er funnet, hvordan de ble utnyttet, og handlinger som kan iverksettes for å rette opp sårbarhetene.
Når BAS har lykkes med å bryte et system, vil det etterligne angripere ved også å bevege seg sideveis i et system, utføre dataeksfiltrering og også slette dets fotavtrykk. Når det er gjort, genereres omfattende rapporter for å hjelpe en organisasjon med å håndtere sårbarheter som er funnet. Disse simuleringene kan kjøres flere ganger for å sikre at sårbarhetene er fjernet.
Grunner til å bruke en BAS-plattform
Organisasjoners bruk av BAS har mange fordeler når det gjelder sikkerheten til systemene deres. Noen av disse fordelene inkluderer:
BAS lar organisasjoner vite om sikkerhetssystemene deres fungerer
Så mye som organisasjoner bruker mye på cybersikkerhet, kan de ofte ikke fullt ut fastslå om systemene deres er effektive mot sofistikerte angrep. Dette kan unngås ved å bruke en BAS-plattform for å montere repeterende sofistikerte angrep på tvers av alle deres systemer for å finne ut hvor godt de kan motstå et faktisk angrep.
I tillegg kan dette gjøres så ofte som nødvendig, med lav risiko, og organisasjoner får omfattende rapporter om hvilke sårbarheter som kan utnyttes i systemene deres.
BAS overvinner begrensningene til blå og røde lag
Å få røde teammedlemmer til å utføre angrep på systemer og blå teammedlemmer til å forsvare systemet krever mye ressurser. Det er ikke noe som kan gjøres bærekraftig annenhver dag. BAS overvinner denne utfordringen ved å automatisere arbeidet utført av blå og røde teamers, slik at organisasjoner kan kjøre simuleringer til en lav kostnad gjennom hele året kontinuerlig.
BAS unngår begrensningene til menneskelig erfaring og feil
Sikkerhetstesting kan være veldig subjektivt ettersom det avhenger av ferdighetene og erfaringen til personene som tester systemene. I tillegg gjør mennesker feil. Ved å automatisere sikkerhetstestprosessen ved hjelp av BAS, kan organisasjoner få mer nøyaktige og konsistente resultater på deres sikkerhetsstilling.
BAS kan også simulere et bredt spekter av angrep og er ikke begrenset av menneskelige ferdigheter og erfaring med å gjennomføre slike angrep.
BAS gir sikkerhetsteamene mulighet til å håndtere trusler bedre
I stedet for å vente på brudd eller programvareprodusenter for å finne sårbarheter og utgi sikkerhetsoppdateringer, kan sikkerhetsteam kontinuerlig bruke BAS for å undersøke systemene sine for sårbarheter. Dette gjør at de kan være foran angripere.
I stedet for at de venter på å bli brutt og svare på angrepene, kan de finne områder som kan brukes til innbrudd og adressere dem før de blir utnyttet av angripere.
For enhver organisasjon som er opptatt av sikkerhet, er BAS et verktøy som kan bidra til å jevne bakken mot angripere og bidra til å nøytralisere sårbarheter selv før de blir utnyttet av angripere.
Hvordan velge riktig BAS-plattform
Mens det finnes mange BAS-plattformer som eksisterer, kan det hende at ikke alle passer for organisasjonen din. Vurder følgende for å finne den riktige BAS-plattformen for din organisasjon:
Antall forhåndskonfigurerte angrepsscenarier tilgjengelig
BAS-plattformer kommer med forhåndskonfigurerte angrepsscenarier som kjører mot en organisasjons systemer for å teste om de kan oppdage og håndtere angrepene. Når du velger en BAS-plattform, vil du ha en med mange forhåndskonfigurerte angrep som dekker hele livssyklusen til cyberangrep. Dette inkluderer angrep som brukes for å få tilgang til systemer og de som utføres når systemene har blitt kompromittert.
Kontinuerlige oppdateringer om tilgjengelige trusselscenarier
angripere innoverer hele tiden og utvikler nye måter å angripe datasystemer på. Derfor vil du ha en BAS-plattform som holder tritt med det stadig skiftende trussellandskapet og kontinuerlig oppdaterer trusselbiblioteket for å sikre at organisasjonen din er trygg mot de nyeste angrepene.
Integrasjon med eksisterende systemer
Når du velger en BAS-plattform, er det viktig å velge en som enkelt integreres med sikkerhetssystemene. I tillegg bør BAS-plattformen kunne dekke alle områdene du ønsker å teste i din organisasjon med svært lav risiko.
Det kan for eksempel være lurt å bruke skymiljøet eller nettverksinfrastrukturen. Derfor bør du velge en plattform som støtter dette.
Rapporter generert
Når en BAS-plattform har simulert et angrep i et system, bør den generere omfattende, handlingsrettede rapporter som beskriver sårbarhetene som er funnet og tiltak som kan iverksettes for å rette opp sikkerhetshullene. Velg derfor en plattform som genererer detaljerte, omfattende sanntidsrapporter med relevant informasjon for å rette opp eksisterende sårbarheter som finnes i et system.
Brukervennlighet
Uansett hvor komplekst eller sofistikert et BAS-verktøy kan være, må det være enkelt å bruke og forstå. Gå derfor for en plattform som krever svært lite ekspertise innen sikkerhet for å fungere, har skikkelig dokumentasjon og et intuitivt brukergrensesnitt som muliggjør enkel distribusjon av angrep og generering av rapporter.
Å velge en BAS-plattform bør ikke være en forhastet beslutning, og de ovennevnte faktorene må vurderes nøye før du tar en beslutning.
For å gjøre valget ditt enklere, her er 7 av de beste BAS-plattformene som er tilgjengelige:
Cymuler
Cymulate er et Software as a service BAS-produkt som vant 2021s Frost and Sullivan BAS-produkt for året, og det med god grunn. Siden den er programvare som en tjeneste, kan distribusjonen gjøres i løpet av noen få minutter med noen få klikk.
Ved å distribuere en enkelt lettvektsagent for å kjøre ubegrensede angrepssimuleringer, kan brukere få tekniske og utøvende rapporter om deres sikkerhetsstilling på få minutter. I tillegg kommer den med tilpassede og forhåndsbygde API-integrasjoner, som gjør at den enkelt kan integreres med forskjellige sikkerhetsstabler.
Cymulate tilbyr brudd- og angrepssimuleringer. Dette kommer med MITER ATT&CK-rammeverket for kontinuerlig lilla teaming, Advanced Persistent Threat(APT)-angrep, nettapplikasjonsbrannmur, endepunktsikkerhet, e-postsikkerhet for dataeksfiltrering, webgateway og phishing-evalueringer.
Cymulate lar også brukere velge angrepsvektorene de vil simulere, og det lar dem trygt utføre angrepssimuleringer på systemene sine og generere handlingsvennlig innsikt.
AttackIQ
AttackIQ er en BAS-løsning som også er tilgjengelig som software as a service(Saas) og enkelt integreres med sikkerhetssystemer.
AttackIQ skiller seg imidlertid ut på grunn av sin anatomiske motor. Denne motoren lar den teste cybersikkerhetskomponenter som bruker kunstig intelligens (AI) og maskinlæring (ML). Den bruker også AI- og ML-basert cyberforsvar i simuleringene sine.
AttackIQ lar brukere kjøre brudd- og angrepssimuleringer veiledet av MITER ATT&CK-rammeverket. Dette tillater testing av sikkerhetsprogrammer ved å emulere atferden til angripere i flertrinnsangrep.
Dette gjør det mulig å identifisere sårbarheter og tekstnettverkskontroller og analysere bruddsvar. AttackIQ gir også dybderapporter om utførte simuleringer og avbøtende teknikker som kan implementeres for å rette opp problemene som er funnet.
Kroll
Kroll har en annen tilnærming til implementering av BAS-løsninger. I motsetning til andre som kommer bunter med angrepsscenarier som kan brukes til å simulere angrep, er Kroll annerledes.
Når en bruker bestemmer seg for å bruke tjenesten deres, utnytter Kroll-eksperter sine ferdigheter og erfaringer til å designe og lage en serie angrepssimuleringer som er spesifikke for et system.
De tar hensyn til den spesifikke brukerens krav og justerer simuleringene med MITER ATT&CK-rammeverket. Når et angrep har blitt skriptet, kan det brukes til å teste og teste systemets sikkerhetsstilling på nytt. Dette dekker konfigurasjonsendringer og benchmark responsberedskap og måler hvordan et system overholder interne sikkerhetsstandarder.
SafeBreach
SafeBreach er stolt av å være blant de første på vei innen BAS-løsninger og har gitt enorme bidrag til BAS, bevist av dets priser og patenter på feltet.
I tillegg, når det gjelder antall angrepsscenarier tilgjengelig for brukerne, har SafeBreach ingen konkurranse. Hackerens spillebok har over 25 000 angrepsmetoder som vanligvis brukes av ondsinnede aktører.
SafeBreach kan enkelt integreres med ethvert system og tilbyr sky-, nettverks- og endepunktsimulatorer. Dette har fordelen av å tillate organisasjoner å oppdage smutthull som kan brukes til å infiltrere systemer, bevege seg sideveis i det kompromitterte systemet og utføre dataeksfiltrering.
Den har også tilpassbare dashbord og fleksible rapporter med visualiseringer som hjelper brukerne med å forstå og kommunisere deres generelle sikkerhetsstilling.
Pentera
Pentera er en BAS-løsning som inspiserer eksterne angrepsflater for å simulere den siste trusselaktørens atferd. For å gjøre dette, utfører den alle handlingene en ondsinnet aktør ville gjort når han angriper et system.
Dette inkluderer rekognosering for å kartlegge angrepsoverflaten, skanning etter sårbarheter, utfordre innsamlet legitimasjon, og bruker også sikre skadevarekopier for å utfordre en organisasjons endepunkter.
I tillegg går det videre med post-eksfiltreringstrinn som sideveis bevegelse i systemer, dataeksfiltrering og opprydding av koden som brukes til å teste, og etterlater dermed ingen fotavtrykk. Til slutt kommer Pentera med utbedring basert på viktigheten av hver enkelt rotårsakssårbarhet.
Trusselsimulator
Threat Simulator kommer som en del av Keysights Security Operations Suite. Threat Simulator er en software-as-a-service BAS-plattform som simulerer angrep på tvers av en organisasjons produksjonsnettverk og endepunkter.
Dette lar en organisasjon identifisere og fikse sårbarheter i områdene før de kan utnyttes. Det beste med det er at det gir brukervennlige trinn-for-trinn-instruksjoner for å hjelpe en organisasjon med å håndtere sårbarhetene funnet av trusselsimulatoren.
I tillegg har den et dashbord som lar organisasjoner se deres sikkerhetsstilling med et øyeblikk. Med over 20 000 angrepsteknikker i spilleboken og nulldagers oppdateringer, er Threat simulator en seriøs utfordrer til topplasseringen blant BAS-plattformer.
GreyMatter Bekreft
GreyMatter er en BAS-løsning fra Reliaquest som enkelt integreres med den tilgjengelige sikkerhetsteknologistakken og gir innsikt i sikkerhetsstillingen til hele organisasjonen og også sikkerhetsverktøyene som brukes.
Greymatter tillater trusseljakt for å lokalisere potensielle trusler som kan eksistere i systemer og gir trusselintelligens inn i trusler som har invadert systemene dine i tilfelle det er noen. Den tilbyr også brudd- og angrepssimuleringer i tråd med MITER ATT&CK-rammekartleggingen og støtter kontinuerlig overvåking av åpne, dype og mørke nettkilder for å identifisere potensielle trusler.
I tilfelle du vil ha en BAS-løsning som gjør så mye mer enn bare brudd- og angrepssimulering, kan du ikke gå galt med Greymatter.
Konklusjon
I lang tid har beskyttelse av kritiske systemer mot angrep vært en reaktiv aktivitet der cybersikkerhetseksperter venter på at angrep skal skje, noe som setter dem i en ulempe. Ved å omfavne BAS-løsninger kan imidlertid cybersikkerhetseksperter få overtaket ved å tilpasse angriperens sinn og kontinuerlig undersøke systemene deres for sårbarheter før angripere gjør det. For enhver organisasjon som er opptatt av sin sikkerhet, er BAS-løsninger et must.
Du kan også utforske noen simuleringsverktøy for cyberangrep for å forbedre sikkerheten.