Cosa sono le simulazioni di violazione e attacco?

Breach and Attack Simulation (BAS) è un approccio automatizzato e continuo basato su software alla sicurezza offensiva. Simile ad altre forme di convalida della sicurezza come squadra rossa E test di penetrazioneBAS integra gli strumenti di sicurezza più tradizionali simulando attacchi informatici per testare i controlli di sicurezza e fornire informazioni utili.

Come un esercizio di squadra rossa, le simulazioni di violazione e attacco utilizzano le tattiche, le tecniche e le procedure di attacco del mondo reale (TTP) impiegate dagli hacker per identificare e mitigare in modo proattivo le vulnerabilità della sicurezza prima che possano essere sfruttate dai veri autori delle minacce. Tuttavia, a differenza del red teaming e del pen test, gli strumenti BAS sono completamente automatizzati e possono fornire risultati più completi con meno risorse nel tempo che intercorre tra ulteriori test di sicurezza pratici. Provider come SafeBreach, XM Cyber ​​e Cymulate offrono soluzioni basate su cloud che consentono una facile integrazione degli strumenti BAS senza implementare nuovo hardware.

In quanto strumento di convalida del controllo di sicurezza, le soluzioni BAS aiutano le organizzazioni a comprendere meglio le proprie lacune di sicurezza, oltre a fornire una guida preziosa per la risoluzione delle priorità.

La simulazione di violazioni e attacchi aiuta i team di sicurezza a:

• Mitigare il potenziale rischio informatico: Fornisce un avviso tempestivo per possibili minacce interne o esterne consentendo ai team di sicurezza di dare priorità agli interventi di riparazione prima di subire l’esfiltrazione di dati critici, la perdita di accesso o esiti avversi simili.
• Ridurre al minimo la probabilità di attacchi informatici riusciti: In un panorama delle minacce in costante cambiamento, l’automazione aumenta la resilienza attraverso test continui.

Come funziona la simulazione di violazioni e attacchi?

Le soluzioni BAS replicano molti tipi diversi di percorsi di attacco, vettori di attacco e scenari di attacco. Basato sui TTP reali utilizzati dagli autori delle minacce, come indicato nell’intelligence sulle minacce trovata nel file ATT&CK MITRA e framework Cyber ​​Killchain, le soluzioni BAS possono simulare:

• Attacchi di rete e di infiltrazione
• Movimento laterale
• Phishing
• Attacchi endpoint e gateway
• Attacchi malware
• Ransomware attacchi

Indipendentemente dal tipo di attacco, le piattaforme BAS simulano, valutano e convalidano le tecniche di attacco più attuali utilizzate dalle minacce persistenti avanzate (APT) e da altre entità dannose lungo l’intero percorso di attacco. Una volta completato un attacco, una piattaforma BAS fornirà quindi un rapporto dettagliato che include un elenco prioritario di passaggi di riparazione nel caso in cui vengano scoperte vulnerabilità critiche.

Il processo BAS inizia con la selezione di uno scenario di attacco specifico da una dashboard personalizzabile. Oltre a eseguire molti tipi di modelli di attacco noti derivati ​​da minacce emergenti o situazioni personalizzate, possono anche eseguire simulazioni di attacco basate sulle strategie di gruppi APT noti, i cui metodi possono variare a seconda del settore di un’organizzazione.

Dopo l’avvio di uno scenario di attacco, gli strumenti BAS distribuiscono agenti virtuali all’interno della rete di un’organizzazione. Questi agenti tentano di violare i sistemi protetti e di spostarsi lateralmente per accedere a risorse critiche o dati sensibili. A differenza dei tradizionali penetration test o del red teaming, i programmi BAS possono utilizzare credenziali e conoscenze interne del sistema che gli aggressori potrebbero non avere. In questo modo, il software BAS può simulare attacchi sia esterni che interni in un processo simile al Purple Teaming.

Dopo aver completato una simulazione, la piattaforma BAS genera un rapporto completo sulle vulnerabilità convalidando l’efficacia di vari controlli di sicurezza, dai firewall alla sicurezza degli endpoint, tra cui:

1. Controlli di sicurezza della rete
2. Rilevamento e risposta degli endpoint (EDR)
3. Controlli di sicurezza della posta elettronica
4. Misure di controllo degli accessi
5. Politiche di gestione delle vulnerabilità
6. Controlli sulla sicurezza dei dati
7. Controlli della risposta agli incidenti

Quali sono i vantaggi della simulazione di violazioni e attacchi?

Pur non essendo destinato a sostituirne altri sicurezza informatica protocolli, le soluzioni BAS possono migliorare significativamente il livello di sicurezza di un’organizzazione. Secondo a Rapporto di ricerca Gartner, BAS può aiutare i team di sicurezza a scoprire fino al 30-50% di vulnerabilità in più rispetto ai tradizionali strumenti di valutazione delle vulnerabilità. I principali vantaggi della simulazione di violazioni e attacchi sono:

1. Automazione: Poiché la minaccia persistente degli attacchi informatici cresce di anno in anno, i team di sicurezza sono costantemente sotto pressione per operare a livelli di efficienza sempre maggiori. Le soluzioni BAS hanno la capacità di eseguire test continui 24 ore al giorno, 7 giorni alla settimana, 365 giorni all’anno, senza la necessità di personale aggiuntivo né in sede né fuori sede. BAS può essere utilizzato anche per eseguire test su richiesta e fornire feedback in tempo reale.
2. Precisione: Per qualsiasi team di sicurezza, soprattutto quelli con risorse limitate, un reporting accurato è fondamentale per un’allocazione efficiente delle risorse: il tempo impiegato a indagare su incidenti di sicurezza non critici o identificati erroneamente è tempo sprecato. Secondo uno studio del Ponemon Institutele organizzazioni che utilizzano strumenti avanzati di rilevamento delle minacce come BAS hanno riscontrato una riduzione del 37% degli avvisi falsi positivi.
3. Informazioni utili: In quanto strumento di convalida del controllo di sicurezza, le soluzioni BAS possono produrre informazioni preziose che evidenziano vulnerabilità specifiche ed errori di configurazione, nonché raccomandazioni contestuali di mitigazione adattate all’infrastruttura esistente di un’organizzazione. Inoltre, la definizione delle priorità basata sui dati aiuta i team SOC ad affrontare per primi le vulnerabilità più critiche.
4. Rilevamento e risposta migliorati: Basato sulle basi di conoscenza APT come MITRE ATT&CK e Cyber ​​Killchain, e si integra bene anche con altre tecnologie di sicurezza (ad esempio, SIEM, SALITA), gli strumenti BAS possono contribuire a migliorare notevolmente i tassi di individuazione e risposta degli incidenti di cibersicurezza. Uno studio dell’Enterprise Strategy Group (ESG) ha rilevato che il 68% delle organizzazioni che utilizzano BAS e SOAR insieme hanno riscontrato tempi di risposta agli incidenti migliorati. Gartner prevede che entro il 2025, le organizzazioni che utilizzano insieme SOAR e BAS ridurranno del 50% il tempo necessario per rilevare e rispondere agli incidenti.

Simulazione di violazioni e attacchi e gestione delle superfici di attacco

Pur integrandosi bene con molti tipi diversi di strumenti di sicurezza, i dati del settore indicano una tendenza crescente verso l’integrazione della simulazione di violazioni e attacchi gestione della superficie di attacco (ASM) strumenti nel prossimo futuro. In qualità di direttore della ricerca sulla sicurezza e la fiducia dell’International Data Corporation, Michelle Abraham ha affermato: “La gestione della superficie di attacco e la simulazione di violazioni e attacchi consentono ai difensori della sicurezza di essere più proattivi nella gestione del rischio”.

Mentre gli strumenti di gestione e scansione delle vulnerabilità valutano un’organizzazione dall’interno, la gestione della superficie di attacco è la scoperta, l’analisi, la correzione e il monitoraggio continui delle vulnerabilità della sicurezza informatica e dei potenziali vettori di attacco che costituiscono le risorse di un’organizzazione. superficie di attacco. Similmente ad altri strumenti di simulazione di attacchi, ASM assume la prospettiva di un aggressore esterno e valuta la presenza rivolta verso l’esterno di un’organizzazione.

Le tendenze sempre più rapide verso un aumento del cloud computing, dei dispositivi IoT e dello shadow IT (ovvero l’uso non autorizzato di dispositivi non protetti) aumentano la potenziale esposizione informatica di un’organizzazione. Le soluzioni ASM scansionano questi vettori di attacco alla ricerca di potenziali vulnerabilità, mentre le soluzioni BAS incorporano tali dati per eseguire meglio simulazioni di attacco e test di sicurezza per determinare l’efficacia dei controlli di sicurezza in atto.

Il risultato complessivo è una comprensione molto più chiara delle difese di un’organizzazione, dalla consapevolezza dei dipendenti interni alle sofisticate preoccupazioni sulla sicurezza del cloud. Quando la conoscenza rappresenta più della metà della battaglia, questa visione critica è preziosa per le organizzazioni che cercano di rafforzare la propria sicurezza.

Esplora la suite IBM QRadar