Ландшафт киберугроз растет по мере того, как злоумышленники разрабатывают новые методы атак, а цифровая трансформация внедряет новые технологии, увеличивающие поверхность атак. Поэтому организациям приходится выделять все больше ресурсов на корпоративные решения в области кибербезопасности.
Однако увеличение расходов на технологии кибербезопасности не гарантирует, что средства защиты смогут успешно предотвращать и обнаруживать кибератаки. Поддержка высокого уровня безопасности требует постоянной проверки эффективности мер безопасности в организации, чтобы быстро выявлять и устранять пробелы в системе защиты.
Имитация взломов и атак (Breach and Attack Simulation, или BAS) стала наиболее результативным подходом для организаций, занимающихся оценкой мер безопасности. BAS обеспечивает видимость в режиме реального времени, автоматический анализ пробелов и эффективные рекомендации для их закрытия.
По данным Gartner, в 2021 году интерес пользователей к BAS инструментам вырос более чем на 90% [1]. Однако за последние несколько лет такие решения значительно развились, что усложнило выбор подходящего инструмента. Более того, не каждый инструмент BAS обладает необходимыми функциями для полной оценки инфраструктуры безопасности предприятия.

Что такое имитация взлома и атаки (BAS)?

Имитация взлома и атаки (Breach and Attack Simulation, или BAS) — это технология, которая постоянно и последовательно имитирует полный жизненный цикл атаки на корпоративную инфраструктуру. Такое определение дает Gartner [2].
BAS — новейший инструмент в наборе организаций для оценки кибербезопасности, который дополняет традиционные методы, такие как сканирование уязвимостей, тестирование на проникновение и атака «красной команды (red teaming — имитация реальных атак).
Многие решения подходят под описание BAS, однако большинство из них не могут справиться со многими сценариями использования, которые важны для современной киберзащиты.

10 критериев для оценки инструментов для имитации взломов и атак

Мы рассмотрим десять важных критериев, которые стоит учитывать при выборе BAS инструмента, так как они помогут определить наиболее подходящее решение, учитывая потребности кибербезопасности вашей организации. Эти критерии учитывают определение BAS, которое дает Gartner, а также регуляторные и операционные требования вашей компании.
1. Симуляция угроз на протяжении всего жизненного цикла атаки

Киберпреступники используют методы злоумышленников по отдельности или в комплексе, и эти вредоносные действия составляют ландшафт киберугроз. Понимание и моделирование методов злоумышленников и кибератак — отличный способ оценить меры безопасности на фоне ландшафта угроз. Поэтому многие поставщики ведут библиотеку угроз для представления и имитации реальных действий злоумышленников.
Инструмент BAS должен иметь обширную библиотеку угроз, которая учитывает все стадии жизненного цикла атаки — до и после компрометации. Она также должна иметь предопределенные и настраиваемые сценарии атак, имитирующие действия злоумышленника.
● Атаки до компрометации:
- по электронной почте; - через загрузку вредоносных программ; - с использованием уязвимостей; - на веб приложения.
● Атаки после компрометации:
- на конечные точки; - с утечкой данных; - с перемещением внутри сети.
● Кампании:  
- сценарии атаки вредоносных программ (напр., кампания вымогателей LockBit); - атаки кибергруппировок (напр., кибершпионаж группировки MuddyWater).
Еще одним требованием к моделированию угроз является последовательность и безопасность. Команды, отвечающие за кибербезопасность, должны быть уверены, что их процедуры оценки не нарушают повседневную работу. Последовательность в моделировании угроз позволяет командам объективно оценивать свои меры безопасности и изменения конфигурации.

2. Актуальность текущих и новых угроз

Ландшафт киберугроз расширяется за счет новых методов злоумышленников, уязвимостей и кампаний. Поскольку он не статичный, библиотека угроз инструмента BAS также не может быть статичной.
Ее необходимо часто и своевременно обновлять, чтобы средства защиты организаций могли моделировать новые угрозы и реагировать на них. Эти обновления должны включать возникающие угрозы, представляющие значительный риск для организаций, и определять их приоритетность.

Обратите внимание, что некоторые поставщики BAS решений могут взимать дополнительную плату за ранний доступ к последним обновлениям контента симуляции.

3. Проверка средств управления безопасностью предприятия

Организации разворачивают 80 элементов управления безопасностью с различными возможностями, которые используют в разных сетях и местах. У BAS решения должна быть возможность оценивать всю инфраструктуру безопасности и обеспечивать плавную интеграцию с широким спектром технологий предотвращения и обнаружения.
● Элементы управления сетевой безопасностью 
- Email Security Controls - Data Loss Prevention (DLP) - Intrusion Prevention System (IPS) - Next-Generation Firewall (NGFW) - Secure Email Gateway (SEG) - Secure Web Gateway (SWG) - Web Application Firewall (WAF)
● Элементы управления обнаружением 
- Endpoint Detection and Response (EDR) - Intrusion Detection System (IDS) - Security Information and Event Management (SIEM)

4. Непрерывное и автоматизированное моделирование

В отличие от традиционных методов оценки безопасности, таких как тестирование на проникновение и атаки красной команды, BAS инструмент может запускать непрерывное и автоматизированное моделирование атак.

Непрерывное тестирование позволяет выявлять слабые места в средствах управления безопасностью в условиях постоянно меняющегося ландшафта угроз и изменений конфигурации средств управления безопасностью. В дополнение к непрерывной симуляции атаки BAS решение будет обеспечивать автоматизированное моделирование без оператора.

Непрерывное и автоматизированное моделирование атак позволяет BAS инструменту оценивать и обнаруживать новые элементы управления безопасностью, которые добавляются, удаляются, отключаются и находятся в обходном режиме.

5. Проверка правила обнаружения

Одной из основных причин неэффективности операций SOC (Security Operation Center) являются ложноположительные оповещения об обнаружении. Эффективные и действенные правила обнаружения жизненно важны для уменьшения числа таких уведомлений.

Однако разработка и тестирование этих правил требует большого количества технических средств и времени. BAS решение должно иметь возможность проверять и помогать командам SOC оценивать свои правила обнаружения. Кроме того, SOC-команды должны иметь возможность использовать BAS инструмент для проверки предупреждений и точной настройки правил обнаружения.

6. Настройка угроз 

Симуляция угроз отлично подходит для оценки мер безопасности и выявления пробелов. Следующим шагом командам SOC необходимо максимально быстро устранить выявленные бреши. Поскольку организации используют различные элементы управления безопасностью от разных поставщиков, разработка мер по устранению пробелов может занять некоторое время, особенно для новых угроз и уязвимостей нулевого дня.

Решение BAS должно предоставлять понятные и практически применимые рекомендации для устранения пробелов, выявленных при симуляции угроз. Команды SOC также могут использовать их для создания стратегий смягчения последствий.

7. Понятные и практические рекомендации

Ландшафт киберугроз каждой организации уникален и зависит от ее отрасли, местоположения, инфраструктуры и многих других факторов. В результате организациям следует приоритизировать угрозы, чтобы эффективно уменьшить риски. Поэтому BAS должна обеспечивать профилирование угроз для организаций и помогать командам SOC определять приоритеты.

После профилирования угроз и приоритизации специалисты по безопасности могут захотеть запустить индивидуальную симуляцию атак и протестировать payload и образцы вредоносных программ, чтобы смоделировать свой ландшафт угроз. BAS должна предоставлять командам SOC возможность создавать собственные симуляции угроз и кампании атак для оценки их уровня безопасности. 

8. Отчеты в режиме реального времени и настраиваемые отчеты

Всесторонняя оценка безопасности создает много данных, о которых нужно отчитываться разным причастным лицам организации. Поэтому BAS инструмент должен представлять свои выводы в формате отчетов об оценке, которые могут использовать руководители, команды SOC и аудиторы.

Отчет об оценке должен включать показатели в реальном времени, такие как:
● общая оценка безопасности; ● скорость обнаружения; ● среднее время обнаружения (MTTD); ● статистика тенденций; ● логирование; ● обнаружение; ● предотвращение; ● данные о соответствии правовым требованиям.

9. Сопоставление с MITRE ATT&CK и другими платформами

Фреймворк MITRE ATT&CK — это понятный язык для специалистов по безопасности во всем мире, который описывает действия злоумышленников в кибератаках. Многие организации и регулирующие органы используют тепловые карты, сопоставленные с инфраструктурой MITRE ATT&CK, в качестве визуального представления состояния их безопасности, учитывая определенные методы злоумышленников.

BAS должна обеспечивать автоматическое сопоставление с платформой MITRE ATT&CK для смоделированных угроз, действий злоумышленника в смоделированном сценарии атаки и выявленных пробелов в безопасности.

10. Простота использования и развертывания

Инфраструктура корпоративной кибербезопасности использует множество технологий безопасности, которые могут быть развернуты в облаке или локально, их управление требует времени и усилий команд SOC.
BAS инструмент должен:
● иметь простой и понятный интерфейс; ● не добавлять сложность и рабочую нагрузку; ● упростить оптимизацию элементов управления безопасностью; ● дать командам безопасности возможность добиваться большего эффекта с меньшими усилиями; ● быть простым в развертывании в существующей инфраструктуре организации; ● поддерживать облачное и локальное развертывание.
Мы рассказали об основных критериях выбора BAS инструмента, но самый точный способ – это протестировать решение!

Источники: [1]       "2022 Gartner® Report: Prepare for New and Unpredictable Cyberthreats," Optiv. [Online]. [2]      "Gartner Forecasts Worldwide Security and Risk Management Spending to Exceed $150 Billion in 2021," Gartner. [Online].