Att försvara organisationer mot cyberattacker är skrämmande, särskilt när man har att göra med stora organisationer med många system som illvilliga aktörer kan rikta in sig på.
Vanligtvis förlitar sig försvarare på blått och rött teaming, efterlevnadstestning och penetrationstestning, bland andra metoder för säkerhetstestning för att utvärdera hur deras försvar skulle hålla emot attacker. Sådana metoder har nackdelen att de är resurskrävande, manuella och tidskrävande och kan därför inte göras varannan dag.
Breach and Attack Simulation (BAS) är ett avancerat cybersäkerhetsverktyg som gör det möjligt för organisationer att använda mjukvaruagenter för att kontinuerligt simulera och automatisera ett brett utbud av cyberattacker mot deras system och få informationsrapporter om befintliga sårbarheter, hur de utnyttjades av mjukvaruagenterna och hur de kan åtgärdas.
BAS tillåter simulering av fullständiga attackcykler från skadliga attacker på endpoints, insiderhot, laterala rörelser och exfiltrering. BAS-verktyg automatiserar de funktioner som utförs av det blå teamet och de röda teammedlemmarna i ett cybersäkerhetsteam.
I säkerhetstester emulerar röda teammedlemmar illvilliga angripare och försöker attackera system för att identifiera sårbarheter, medan blå teammedlemmar försvarar sig mot attacken från röda teamers.
Innehållsförteckning
Hur en BAS-plattform fungerar
För att simulera attacker mot datorsystem kommer BAS-programvara med förkonfigurerade cyberattacker baserade på kunskap, forskning och observationer om hur angripare kompromissar och attackerar datorsystem.
Många BAS-programvara använder MITER ATT&CK-ramverket, en globalt tillgänglig kunskapsbas som innehåller taktik och tekniker som lärts från verkliga observationer av cyberattacker. Ramverket har även en riktlinje för att klassificera och beskriva cyberattacker och intrång i datorsystem.
I en BAS-simulering distribueras förkonfigurerade attacker på målsystemet. Dessa förkonfigurerade attacker emulerar verkliga attacker men gör det säkert med låg risk utan att störa tjänsten. Till exempel, när den distribuerar skadlig programvara kommer den att använda säkra repliker av känd skadlig programvara.
I en simulering täcker programmet hela livscykeln för cyberattacker. Jag kommer att utföra spaning för att förstå det underliggande systemet, skanna efter sårbarheter och försöka utnyttja dessa sårbarheter. Samtidigt som BAS gör detta genererar BAS även realtidsrapporter som beskriver de sårbarheter som har hittats, hur de utnyttjades och åtgärder som kan vidtas för att korrigera sårbarheterna.
När BAS väl har gjort intrång i ett system kommer det att emulera angripare genom att även röra sig i sidled i ett system, utföra dataexfiltrering och även ta bort dess fotspår. När det är klart genereras omfattande rapporter för att hjälpa en organisation att ta itu med de sårbarheter som hittats. Dessa simuleringar kan köras flera gånger för att säkerställa att sårbarheterna har tagits bort.
Skäl att använda en BAS-plattform
Organisationers användning av BAS har många fördelar när det gäller säkerheten i deras system. Några av dessa fördelar inkluderar:
BAS låter organisationer veta om deras säkerhetssystem fungerar
Så mycket som organisationer spenderar mycket på cybersäkerhet, kan de ofta inte helt avgöra om deras system är effektiva mot sofistikerade attacker. Detta kan undvikas genom att använda en BAS-plattform för att montera upprepade sofistikerade attacker över alla deras system för att avgöra hur väl de kan motstå en faktisk attack.
Dessutom kan detta göras så ofta som behövs, med låg risk, och organisationer får omfattande rapporter om vilka sårbarheter som kan utnyttjas i deras system.
BAS övervinner begränsningarna hos blå och röda lag
Att få röda teammedlemmar att attackera system och blå teammedlemmar att försvara systemet kräver mycket resurser. Det är inget som kan göras hållbart varannan dag. BAS övervinner denna utmaning genom att automatisera arbetet som utförs av blå och röda teamarbetare, vilket gör det möjligt för organisationer att köra simuleringar till en låg kostnad under hela året kontinuerligt.
BAS undviker begränsningarna av mänsklig erfarenhet och misstag
Säkerhetstestning kan vara väldigt subjektivt eftersom det beror på skickligheten och erfarenheten hos de personer som testar systemen. Dessutom gör människor misstag. Genom att automatisera säkerhetstestprocessen med BAS kan organisationer få mer exakta och konsekventa resultat på sin säkerhetsställning.
BAS kan också simulera ett brett utbud av attacker och begränsas inte av mänskliga färdigheter och erfarenhet av att utföra sådana attacker.
BAS ger säkerhetsteam möjlighet att hantera hot bättre
Istället för att vänta på intrång eller mjukvarutillverkare för att hitta sårbarheter och släppa säkerhetskorrigeringar, kan säkerhetsteam kontinuerligt använda BAS för att undersöka sina system för sårbarheter. Detta gör att de kan ligga före angripare.
Istället för att de väntar på att bli kränkta och svara på attackerna kan de hitta områden som kan användas för intrång och ta itu med dem innan de utnyttjas av angripare.
För alla organisationer som är intresserade av säkerhet är BAS ett verktyg som kan hjälpa till att jämna ut marken mot angripare och hjälpa till att neutralisera sårbarheter redan innan de utnyttjas av angripare.
Hur man väljer rätt BAS-plattform
Medan det finns många BAS-plattformar som finns, kanske inte alla passar din organisation. Tänk på följande för att bestämma rätt BAS-plattform för din organisation:
Antalet tillgängliga förkonfigurerade attackscenarier
BAS-plattformar kommer med förkonfigurerade attackscenarier som körs mot en organisations system för att testa om de kan upptäcka och hantera attackerna. När du väljer en BAS-plattform vill du ha en med många förkonfigurerade attacker som täcker hela livscykeln för cyberattacker. Detta inkluderar attacker som används för att komma åt system och de som körs när systemen har äventyrats.
Kontinuerliga uppdateringar om tillgängliga hotscenarier
angripare förnyar sig ständigt och utvecklar nya sätt att attackera datorsystem. Därför vill du ha en BAS-plattform som håller jämna steg med det ständigt föränderliga hotlandskapet och kontinuerligt uppdaterar sitt hotbibliotek för att säkerställa att din organisation är säker mot de senaste attackerna.
Integration med befintliga system
När du väljer en BAS-plattform är det viktigt att välja en som enkelt kan integreras med säkerhetssystemen. Dessutom bör BAS-plattformen kunna täcka alla områden som du vill testa i din organisation med mycket låg risk.
Till exempel kanske du vill använda din molnmiljö eller nätverksinfrastruktur. Därför bör du välja en plattform som stöder detta.
Rapporter genererade
När en BAS-plattform har simulerat en attack i ett system bör den generera omfattande, handlingsbara rapporter som beskriver de sårbarheter som har hittats och åtgärder som kan vidtas för att rätta till säkerhetsluckor. Välj därför en plattform som genererar detaljerade, omfattande realtidsrapporter med relevant information för att åtgärda befintliga sårbarheter som finns i ett system.
Enkel användning
Oavsett hur komplext eller sofistikerat ett BAS-verktyg kan vara måste det vara lätt att använda och förstå. Satsa därför på en plattform som kräver väldigt lite expertis inom säkerhet för att fungera, har korrekt dokumentation och ett intuitivt användargränssnitt som möjliggör enkel utplacering av attacker och generering av rapporter.
Att välja en BAS-plattform bör inte vara ett förhastat beslut, och ovanstående faktorer måste övervägas noggrant innan ett beslut fattas.
För att göra ditt val enklare, här är 7 av de bästa tillgängliga BAS-plattformarna:
Cymulera
Cymulate är en Software as a service BAS-produkt som vann 2021 års Frost and Sullivan BAS-produkt, och av goda skäl. Eftersom det är programvara som en tjänst, kan dess distribution göras på några minuter med några få klick.
Genom att distribuera en enda lättviktsagent för att köra obegränsade attacksimuleringar kan användare få tekniska och verkställande rapporter om sin säkerhetsställning på några minuter. Dessutom kommer den med anpassade och förbyggda API-integrationer, som gör att den enkelt kan integreras med olika säkerhetsstaplar.
Cymulate erbjuder intrångs- och attacksimuleringar. Detta kommer med MITER ATT&CK-ramverket för kontinuerlig lila teaming, Advanced Persistent Threat(APT)-attacker, webbapplikationsbrandvägg, slutpunktssäkerhet, e-postsäkerhet för dataexfiltrering, webbgateway och nätfiskeutvärderingar.
Cymulate tillåter också användare att välja de attackvektorer de vill simulera, och det låter dem på ett säkert sätt utföra attacksimuleringar på sina system och generera handlingsbara insikter.
AttackIQ
AttackIQ är en BAS-lösning som även finns som mjukvara som en tjänst (Saas) och enkelt integreras med säkerhetssystem.
AttackIQ sticker dock ut på grund av sin anatomiska motor. Denna motor låter den testa cybersäkerhetskomponenter som använder artificiell intelligens (AI) och maskininlärning (ML). Den använder också AI- och ML-baserade cyberförsvar i sina simuleringar.
AttackIQ låter användare köra intrångs- och attacksimuleringar styrda av MITER ATT&CK-ramverket. Detta möjliggör testning av säkerhetsprogram genom att emulera angripares beteende i flerstegsattacker.
Detta gör det möjligt att identifiera sårbarheter och textnätverkskontroller och analysera intrångssvar. AttackIQ tillhandahåller också djupgående rapporter om genomförda simuleringar och begränsningstekniker som kan implementeras för att korrigera de problem som hittats.
Kroll
Kroll har ett annat förhållningssätt till implementeringen av BAS-lösningar. Till skillnad från andra som kommer i paket med attackscenarier som kan användas för att simulera attacker, är Kroll annorlunda.
När en användare bestämmer sig för att använda sin tjänst utnyttjar Krolls experter sina kunskaper och erfarenheter för att designa och skapa en serie attacksimuleringar som är specifika för ett system.
De tar hänsyn till den specifika användarens krav och anpassar simuleringarna till MITER ATT&CK-ramverket. När en attack har skriptats kan den användas för att testa och testa om ett systems säkerhetsställning. Detta täcker konfigurationsändringar och benchmark-responsberedskap och mäter hur ett system följer interna säkerhetsstandarder.
SafeBreach
SafeBreach är stolt över att vara en av de första inom BAS-lösningar och har gjort enorma bidrag till BAS, vilket framgår av dess utmärkelser och patent inom området.
Dessutom, när det gäller antalet attackscenarier som är tillgängliga för sina användare, har SafeBreach ingen konkurrens. Dess hackers spelbok har över 25 000 attackmetoder som vanligtvis används av illvilliga aktörer.
SafeBreach kan enkelt integreras med alla system och erbjuder moln-, nätverks- och slutpunktsimulatorer. Detta har fördelen av att tillåta organisationer att upptäcka kryphål som kan användas för att infiltrera system, röra sig i sidled i det komprometterade systemet och utföra dataexfiltrering.
Den har också anpassningsbara instrumentpaneler och flexibla rapporter med visualiseringar som hjälper användare att enkelt förstå och kommunicera sin övergripande säkerhetsställning.
Pentera
Pentera är en BAS-lösning som inspekterar externa attackytor för att simulera de senaste hotaktörernas beteenden. För att göra detta utför den alla de åtgärder som en illvillig aktör skulle göra när han attackerar ett system.
Detta inkluderar spaning för att kartlägga attackytan, sökning efter sårbarheter, utmanande av insamlade referenser och använder även säkra repliker av skadlig programvara för att utmana en organisations slutpunkter.
Dessutom går det vidare med steg efter exfiltrering som laterala rörelser i system, dataexfiltrering och rensning av koden som används för att testa, vilket gör att inga fotspår lämnas. Slutligen kommer Pentera med åtgärdande baserat på vikten av varje rotorsakssårbarhet.
Hotsimulator
Threat Simulator kommer som en del av Keysights Security Operations Suite. Threat Simulator är en software-as-a-service BAS-plattform som simulerar attacker över en organisations produktionsnätverk och slutpunkter.
Detta gör att en organisation kan identifiera och åtgärda sårbarheter i områdena innan de kan utnyttjas. Det bästa med det är att det ger användarvänliga steg-för-steg-instruktioner för att hjälpa en organisation att hantera sårbarheterna som hittas av Hotsimulatorn.
Dessutom har den en instrumentpanel som gör det möjligt för organisationer att se sin säkerhetsställning med ett ögonkast. Med över 20 000 attacktekniker i sin spelbok och nolldagarsuppdateringar är Threat-simulatorn en seriös utmanare om topplaceringen bland BAS-plattformar.
GreyMatter Verifiera
GreyMatter är en BAS-lösning från Reliaquest som enkelt integreras med den tillgängliga säkerhetsteknikstacken och ger insikter i säkerhetsställningen för hela organisationen och även de säkerhetsverktyg som används.
Greymatter tillåter hotjakt för att lokalisera potentiella hot som kan finnas i system och tillhandahåller hotintelligens om hot som har invaderat dina system om det finns några. Den erbjuder också intrångs- och attacksimuleringar i linje med MITER ATT&CK-ramverket och stöder kontinuerlig övervakning av öppna, djupa och mörka webbkällor för att identifiera potentiella hot.
Om du vill ha en BAS-lösning som gör så mycket mer än bara intrångs- och attacksimulering, kan du inte gå fel med Greymatter.
Slutsats
Att skydda kritiska system mot attacker har länge varit en reaktiv aktivitet där cybersäkerhetsproffs väntar på att attacker ska ske, vilket försätter dem i underläge. Men genom att anamma BAS-lösningar kan cybersäkerhetsproffs få övertaget genom att anpassa angriparens sinne och kontinuerligt undersöka sina system för sårbarheter innan angripare gör det. För alla organisationer som är intresserade av sin säkerhet är BAS-lösningar ett måste.
Du kan också utforska några simuleringsverktyg för cyberattacker för att förbättra säkerheten.