At forsvare organisationer mod cyberangreb er skræmmende, især når de har at gøre med store organisationer med mange systemer, som ondsindede aktører kan målrette mod.
Forsvarere er typisk afhængige af blå og røde teaming, compliance-test og penetrationstest, blandt andre sikkerhedstestmetoder for at evaluere, hvordan deres forsvar ville holde op mod angreb. Sådanne metoder har den ulempe, at de er ressourcekrævende, manuelle og tidskrævende og kan derfor ikke udføres hver anden dag.
Breach and Attack Simulation (BAS) er et avanceret cybersikkerhedsværktøj, der giver organisationer mulighed for at bruge softwareagenter til løbende at simulere og automatisere en lang række cyberangreb mod deres system og få informationsrapporter om eksisterende sårbarheder, hvordan de blev udnyttet af softwareagenterne og hvordan de kan afhjælpes.
BAS tillader simulering af fulde angrebscyklusser fra malwareangreb på endepunkter, insidertrusler, laterale bevægelser og eksfiltration. BAS-værktøjer automatiserer de funktioner, der udføres af det blå team og de røde teammedlemmer i et cybersikkerhedsteam.
I sikkerhedstest efterligner røde teammedlemmer ondsindede angribere og forsøger at angribe systemer for at identificere sårbarheder, mens blå teammedlemmer forsvarer sig mod angreb fra røde teammedlemmer.
Indholdsfortegnelse
Sådan fungerer en BAS-platform
For at simulere angreb på computersystemer leveres BAS-software med prækonfigurerede cyberangreb baseret på viden, forskning og observationer om, hvordan angribere kompromitterer og angriber computersystemer.
Mange BAS-software anvender MITER ATT&CK-rammeværket, en globalt tilgængelig vidensbase, der indeholder taktik og teknikker lært fra virkelige observationer af cyberangreb. Rammen har også en retningslinje til klassificering og beskrivelse af cyberangreb og indtrængen på computersystemer.
I en BAS-simulering implementeres prækonfigurerede angreb på målsystemet. Disse forudkonfigurerede angreb efterligner angreb fra den virkelige verden, men gør det sikkert med lav risiko uden at forstyrre tjenesten. For eksempel, når den implementerer malware, vil den bruge sikre replikaer af kendt malware.
I en simulering dækker programmet hele livscyklussen af cyberangreb. Jeg vil udføre rekognoscering for at forstå det underliggende system, scanne for sårbarheder og forsøge at udnytte disse sårbarheder. Mens det gør dette, genererer BAS også realtidsrapporter, der beskriver de sårbarheder, der er blevet fundet, hvordan de blev udnyttet, og handlinger, der kan tages for at rette op på sårbarhederne.
Når først BAS har brudt et system, vil det efterligne angribere ved også at bevæge sig sideværts i et system, udføre dataeksfiltrering og også slette dets fodspor. Når det er gjort, genereres omfattende rapporter for at hjælpe en organisation med at løse de fundne sårbarheder. Disse simuleringer kan køres flere gange for at sikre, at sårbarhederne er blevet fjernet.
Grunde til at bruge en BAS-platform
Organisationers brug af BAS har mange fordele med hensyn til sikkerheden af deres systemer. Nogle af disse fordele omfatter:
BAS giver organisationer mulighed for at vide, om deres sikkerhedssystemer fungerer
Så meget som organisationer bruger meget på cybersikkerhed, kan de ofte ikke helt fastslå, om deres systemer er effektive mod sofistikerede angreb. Dette kan undgås ved at bruge en BAS-platform til at montere gentagne sofistikerede angreb på tværs af alle deres systemer for at bestemme, hvor godt de kan modstå et faktisk angreb.
Derudover kan dette gøres så ofte som nødvendigt, med lav risiko, og organisationer får omfattende rapporter om, hvilke sårbarheder der kan udnyttes i deres systemer.
BAS overvinder begrænsningerne for blå og røde hold
At få røde teammedlemmer til at udføre angreb på systemer og blå teammedlemmer til at forsvare systemet kræver mange ressourcer. Det er ikke noget, der kan gøres bæredygtigt hver anden dag. BAS overvinder denne udfordring ved at automatisere det arbejde, der udføres af blå og røde teamers, hvilket gør det muligt for organisationer at køre simuleringer til en lav pris hele året igennem.
BAS undgår begrænsningerne af menneskelig erfaring og fejl
Sikkerhedstest kan være meget subjektivt, da det afhænger af dygtigheden og erfaringen hos de personer, der tester systemerne. Derudover begår mennesker fejl. Ved at automatisere sikkerhedstestprocessen ved hjælp af BAS, kan organisationer få mere nøjagtige og ensartede resultater på deres sikkerhedsposition.
BAS kan også simulere en bred vifte af angreb og er ikke begrænset af menneskelige færdigheder og erfaring med at udføre sådanne angreb.
BAS giver sikkerhedsteams mulighed for at håndtere trusler bedre
I stedet for at vente på, at brud eller softwareproducenter finder sårbarheder og frigiver sikkerhedsrettelser, kan sikkerhedsteams løbende bruge BAS til at undersøge deres systemer for sårbarheder. Dette giver dem mulighed for at være foran angribere.
I stedet for at de venter på at blive brudt og reagere på angrebene, kan de finde områder, der kan bruges til brud og adressere dem, før de bliver udnyttet af angribere.
For enhver organisation, der er interesseret i sikkerhed, er BAS et værktøj, der kan hjælpe med at udjævne jorden mod angribere og hjælpe med at neutralisere sårbarheder, selv før de bliver udnyttet af angribere.
Sådan vælger du den rigtige BAS-platform
Mens der findes masser af BAS-platforme, er det måske ikke alle, der passer til din organisation. Overvej følgende for at bestemme den rigtige BAS-platform for din organisation:
Antallet af tilgængelige forudkonfigurerede angrebsscenarier
BAS-platforme leveres med prækonfigurerede angrebsscenarier, der kører mod en organisations systemer for at teste, om de kan opdage og håndtere angrebene. Når du vælger en BAS-platform, vil du have en med mange forudkonfigurerede angreb, der dækker hele livscyklussen af cyberangreb. Dette inkluderer angreb, der bruges til at få adgang til systemer, og dem, der udføres, når systemer er blevet kompromitteret.
Løbende opdateringer om tilgængelige trusselsscenarier
Angribere indoverer konstant og udvikler nye måder at angribe computersystemer på. Derfor ønsker du en BAS-platform, der følger med det stadigt skiftende trussellandskab og løbende opdaterer sit trusselsbibliotek for at sikre, at din organisation er sikker mod de nyeste angreb.
Integration med eksisterende systemer
Når du vælger en BAS-platform, er det vigtigt at vælge en, der nemt kan integreres med sikkerhedssystemerne. Derudover bør BAS-platformen kunne dække alle de områder, som du ønsker at teste i din organisation med meget lav risiko.
For eksempel vil du måske bruge dit cloudmiljø eller netværksinfrastruktur. Derfor bør du vælge en platform, der understøtter dette.
Rapporter genereret
Når en BAS-platform har simuleret et angreb i et system, bør den generere omfattende, handlingsrettede rapporter, der beskriver de sårbarheder, der er fundet, og foranstaltninger, der kan træffes for at rette op på sikkerhedshullerne. Vælg derfor en platform, der genererer detaljerede, omfattende realtidsrapporter med relevant information for at afhjælpe eksisterende sårbarheder, der findes i et system.
Brugervenlighed
Uanset hvor komplekst eller sofistikeret et BAS-værktøj måtte være, skal det være nemt at bruge og forstå. Gå derfor efter en platform, der kræver meget lidt ekspertise inden for sikkerhed for at fungere, har ordentlig dokumentation og en intuitiv brugergrænseflade, der giver mulighed for nem implementering af angreb og generering af rapporter.
At vælge en BAS-platform bør ikke være en forhastet beslutning, og ovenstående faktorer skal overvejes nøje, før der træffes en beslutning.
For at gøre dit valg nemmere er her 7 af de bedste tilgængelige BAS-platforme:
Cymuler
Cymulate er et Software as a Service BAS-produkt, der vandt 2021’s Frost and Sullivan BAS-produkt af året, og det med god grund. Da den er software som en tjeneste, kan dens udrulning udføres i løbet af et par minutter ved hjælp af et par klik.
Ved at implementere en enkelt letvægtsagent til at køre ubegrænsede angrebssimuleringer, kan brugere få tekniske og ledelsesmæssige rapporter om deres sikkerhedsposition på få minutter. Derudover kommer den med brugerdefinerede og forudbyggede API-integrationer, som gør det muligt at integrere det nemt med forskellige sikkerhedsstakke.
Cymulate tilbyder brud- og angrebssimuleringer. Dette kommer med MITER ATT&CK-rammeværket til kontinuerlig lilla teaming, Advanced Persistent Threat(APT)-angreb, webapplikationsfirewall, slutpunktssikkerhed, dataeksfiltrerings-e-mailsikkerhed, webgateway og phishing-evalueringer.
Cymulate giver også brugerne mulighed for at vælge de angrebsvektorer, de vil simulere, og det giver dem mulighed for sikkert at udføre angrebssimuleringer på deres systemer og generere handlingsorienteret indsigt.
AttackIQ
AttackIQ er en BAS-løsning, der også er tilgængelig som software as a service (Saas) og nemt integreres med sikkerhedssystemer.
AttackIQ skiller sig dog ud på grund af sin anatomiske motor. Denne motor giver den mulighed for at teste cybersikkerhedskomponenter, der bruger kunstig intelligens (AI) og machine learning (ML). Den bruger også AI- og ML-baseret cyberforsvar i sine simuleringer.
AttackIQ giver brugerne mulighed for at køre brud- og angrebssimuleringer styret af MITER ATT&CK-rammerne. Dette tillader test af sikkerhedsprogrammer ved at efterligne angribernes adfærd i flertrinsangreb.
Dette giver mulighed for at identificere sårbarheder og tekstnetværkskontrol og analysere brudsvar. AttackIQ leverer også dybdegående rapporter om udførte simuleringer og afhjælpningsteknikker, der kan implementeres for at rette op på de fundne problemer.
Kroll
Kroll har en anderledes tilgang til implementering af BAS-løsninger. I modsætning til andre, der kommer bundter med angrebsscenarier, der kan bruges til at simulere angreb, er Kroll anderledes.
Når en bruger beslutter sig for at bruge deres tjeneste, udnytter Kroll-eksperter deres færdigheder og erfaring til at designe og lave en række angrebssimuleringer, der er specifikke for et system.
De tager hensyn til den specifikke brugers krav og tilpasser simuleringerne til MITER ATT&CK-rammeværket. Når et angreb er blevet scriptet, kan det bruges til at teste og genteste et systems sikkerhedsposition. Dette dækker konfigurationsændringer og benchmark-responsberedskab og måler, hvordan et system overholder interne sikkerhedsstandarder.
SafeBreach
SafeBreach er stolt af at være blandt de første på vej inden for BAS-løsninger og har ydet enorme bidrag til BAS, hvilket fremgår af dets priser og patenter på området.
Derudover har SafeBreach ingen konkurrence med hensyn til antallet af angrebsscenarier, der er tilgængelige for sine brugere. Dens hackers playbook har over 25.000 angrebsmetoder, der typisk bruges af ondsindede aktører.
SafeBreach kan nemt integreres med ethvert system og tilbyder sky-, netværks- og slutpunktsimulatorer. Dette har den fordel, at det giver organisationer mulighed for at opdage smuthuller, der kan bruges til at infiltrere systemer, bevæge sig sideværts i det kompromitterede system og udføre dataeksfiltrering.
Den har også brugerdefinerbare dashboards og fleksible rapporter med visualiseringer, der hjælper brugerne med nemt at forstå og kommunikere deres overordnede sikkerhedsposition.
Pentera
Pentera er en BAS-løsning, der inspicerer eksterne angrebsoverflader for at simulere den seneste trusselsaktøradfærd. For at gøre dette udfører den alle de handlinger, en ondsindet aktør ville gøre, når den angriber et system.
Dette inkluderer rekognoscering for at kortlægge angrebsoverfladen, scanning for sårbarheder, udfordring af indsamlede legitimationsoplysninger og bruger også sikre malware-replikaer til at udfordre en organisations slutpunkter.
Derudover fortsætter den med post-eksfiltreringstrin, såsom lateral bevægelse i systemer, dataeksfiltrering og oprydning af den kode, der blev brugt til at teste, og efterlader således ingen fodspor. Endelig kommer Pentera med afhjælpning baseret på vigtigheden af hver rodårsagssårbarhed.
Trusselsimulator
Threat Simulator kommer som en del af Keysights Security Operations Suite. Threat Simulator er en software-as-a-service BAS-platform, der simulerer angreb på tværs af en organisations produktionsnetværk og endepunkter.
Dette giver en organisation mulighed for at identificere og rette sårbarheder i områderne, før de kan udnyttes. Det bedste ved det er, at det giver brugervenlige trin-for-trin instruktioner til at hjælpe en organisation med at håndtere sårbarhederne fundet af Threat-simulatoren.
Derudover har den et dashboard, der giver organisationer mulighed for at se deres sikkerhedsstilling med et øjeblik. Med over 20.000 angrebsteknikker i sin playbook og nul-dages opdateringer er Threat simulator en seriøs udfordrer til topplaceringen blandt BAS platforme.
GreyMatter Bekræft
GreyMatter er en BAS-løsning fra Reliaquest, der nemt integreres med den tilgængelige sikkerhedsteknologistak og giver indsigt i sikkerhedspositionen i hele organisationen og også de sikkerhedsværktøjer, der bruges.
Greymatter giver mulighed for trusselsjagt for at lokalisere potentielle trusler, der kan eksistere i systemer, og giver trusselsintelligens til trusler, der har invaderet dine systemer, hvis der er nogen. Det tilbyder også brud- og angrebssimuleringer i overensstemmelse med MITER ATT&CK-rammekortlægningen og understøtter kontinuerlig overvågning af åbne, dybe og mørke webkilder for at identificere potentielle trusler.
Hvis du vil have en BAS-løsning, der gør så meget mere end blot brud- og angrebssimulering, kan du ikke gå galt med Greymatter.
Konklusion
I lang tid har beskyttelse af kritiske systemer mod angreb været en reaktiv aktivitet, hvor cybersikkerhedsprofessionelle venter på, at angreb sker, hvilket stiller dem til en ulempe. Men ved at omfavne BAS-løsninger kan cybersikkerhedsprofessionelle få overtaget ved at tilpasse angriberens sind og løbende undersøge deres systemer for sårbarheder, før angriberne gør det. For enhver organisation, der er interesseret i sin sikkerhed, er BAS-løsninger et must-have.
Du kan også udforske nogle cyberangrebssimuleringsværktøjer for at forbedre sikkerheden.