Ландшафт кіберзагроз зростає разом з тим, як зловмисники розробляють нові методи атак, а цифрова трансформація впроваджує нові технології, спрямовані на збільшення поверхні атак. Тому організаціям доводиться знаходити дедалі більше ресурсів на корпоративні рішення у сфері кібербезпеки.

Однак збільшення витрат на технології кібербезпеки не гарантує, що засоби захисту зможуть успішно виявляти кібератаки й запобігати їм. Підтримка високого рівня захищеності вимагає постійної перевірки ефективності заходів безпеки в організації, щоб швидко виявляти та усувати прогалини в системі захисту.

Імітація зламів та атак (Breach and Attack Simulation, або BAS) стала найбільш результативним підходом для організацій, які займаються оцінкою безпекових заходів. BAS забезпечує видимість у режимі реального часу, автоматичний аналіз недоліків та ефективні рекомендації щодо їх усунення.

За оцінкою Gartner, у 2021 році інтерес користувачів до інструментів BAS стрімко зріс (більше ніж на 90%) [1]. Проте за останні кілька років такі рішення значно розвинулися, і це ускладнило вибір відповідного інструменту. До того ж не кожен інструмент BAS має необхідні функції для повної оцінки безпекової інфраструктури підприємства.

Що таке імітація зламу та атаки (BAS)?

Імітація зламу та атаки (Breach and Attack Simulation, або BAS) – це технологія, яка постійно та послідовно імітує повний життєвий цикл атаки на корпоративну інфраструктуру. Таке визначення наводить Gartner [2].

BAS — новітній інструмент, який використовують організації з метою оцінки кібербезпеки. Він доповнює традиційні методи: сканування вразливостей, тестування на проникнення та атака червоної команди (red teaming — імітація реальних атак).

Багато рішень підходять під опис BAS, проте далеко не всі можуть впоратися з великою кількістю сценаріїв використання, які є важливими для сучасного кіберзахисту.

10 критеріїв для оцінки інструментів для імітації зламів та атак

Ми розглянемо десять важливих критеріїв, які варто враховувати під час вибору BAS інструменту. Вони допоможуть знайти оптимальне рішення з огляду на потреби кібербезпеки вашої організації. Ці критерії враховують визначення BAS, яке надає Gartner, а також регуляторні та операційні вимоги компанії.
1. Симуляція загроз упродовж усього життєвого циклу атаки

Кіберзлочинці використовують методи зловмисників окремо або комплексно, і ці шкідливі дії створюють ландшафт кіберзагроз. Розуміння й моделювання дій зловмисників та кібератак – чудовий спосіб оцінити заходи безпеки на тлі ландшафту загроз. Тому багато постачальників ведуть бібліотеку загроз для показу та імітації реальних дій зловмисників.
Інструмент BAS повинен містити велику бібліотеку загроз, яка враховує всі етапи життєвого циклу атаки – до та після компрометації. Ця бібліотека має охоплювати наперед визначені та налаштовувані сценарії атак, що імітують дії зловмисника.
● Атаки до компрометації:
- електронною поштою; - внаслідок завантаження шкідливих програм; - з використанням уразливостей; - на вебзастосунки.
● Атаки після компрометації:
- на кінцеві точки;
- з витоком даних;
- з переміщенням всередині мережі.
● Кампанії:  
- сценарії атаки шкідливих програм (наприклад, кампанія вимагачів LockBit);
- атаки кіберугруповань (наприклад, кібершпигунство угруповання MuddyWater).
Важливі вимоги для моделювання загроз — це також послідовність і безпека. Команди, відповідальні за кібербезпеку, мають бути впевненими, що їхні процедури оцінки не порушують повсякденну роботу. Послідовність у моделюванні загроз дозволяє командам об'єктивно оцінювати свої безпекові заходи та зміни конфігурації.

2. Актуальність поточних та нових загроз

Ландшафт кіберзагроз розширюється за допомогою кампаній, вразливостей та нових методів зловмисників. Оскільки він не є статичним, бібліотека загроз BAS також не може бути статичною.

Її необхідно часто та своєчасно оновлювати, щоб засоби захисту організацій могли моделювати нові загрози та реагувати на них. Ці оновлення повинні містити загрози, що становлять значний ризик для організацій, і визначати їхню пріоритетність.

Зверніть увагу, що деякі постачальники рішень BAS можуть стягувати додаткову плату за ранній доступ до останніх оновлень контенту симуляції.

3. Перевірка засобів керування безпекою підприємства

Організації розгортають до 80 елементів управління безпекою з різними можливостями, які вони використовують у різних мережах та місцях. У BAS рішення має бути можливість оцінювати всю інфраструктуру безпеки та забезпечувати плавну інтеграцію з широким спектром технологій запобігання та виявлення.
● Елементи управління мережевою безпекою 
- Email Security Controls - Data Loss Prevention (DLP) - Intrusion Prevention System (IPS) - Next-Generation Firewall (NGFW) - Secure Email Gateway (SEG) - Secure Web Gateway (SWG) - Web Application Firewall (WAF)
● Елементи керування виявленням
- Endpoint Detection and Response (EDR) - Intrusion Detection System (IDS) - Security Information and Event Management (SIEM)

4. Безперервне та автоматизоване моделювання

На противагу традиційним методам оцінки безпеки (тестування на проникнення й атаки червоної команди), BAS інструмент може запускати безперервне та автоматизоване моделювання атак.

Безперервне тестування дозволяє виявляти слабкі місця засобів управління безпекою в умовах змінного ландшафту загроз і змін конфігурації засобів управління безпекою. На додачу до безперервної симуляції атаки, BAS рішення буде забезпечувати автоматизоване моделювання без оператора.

Безперервне та автоматизоване моделювання атак дає можливість BAS інструменту оцінювати та виявляти нові елементи керування безпекою, які додаються, видаляються, відключаються та перебувають в обхідному режимі.

5. Перевірка правила виявлення

Однією з основних причин неефективності операцій SOC (Security Operation Center) є хибнопозитивні сповіщення про виявлення. Ефективні правила виявлення життєво важливі для зменшення кількості таких повідомлень.

Однак розробка й тестування цих правил потребує великої кількості технічних засобів та часу. BAS рішення має вміти перевіряти правила виявлення та допомагати командам SOC їх оцінювати. Крім того, SOC-команди повинні мати можливість використовувати BAS інструмент для перевірки попереджень та точного налаштування правил виявлення.

6. Налаштування загроз 

Симуляція загроз чудово підходить для оцінки безпекових заходів та виявлення прогалин. Наступним кроком командам SOC необхідно максимально швидко усунути виявлені проблеми. Оскільки організації використовують різні елементи керування безпекою від різних постачальників, розробка заходів для усунення прогалин може затягнутися, особливо стосовно нових загроз і вразливостей нульового дня.

Рішення BAS має надавати зрозумілі та практично застосовні рекомендації щодо усунення прогалин, виявлених під час симуляції загроз. Команди SOC також можуть використовувати їх для вироблення стратегій пом'якшення наслідків.

7. Зрозумілі та практичні рекомендації

Ландшафт кіберзагроз кожної організації є унікальним і залежить від її галузі, розташування, інфраструктури й багатьох інших факторів. Отже, організаціям слід пріоритезувати загрози, щоб ефективно зменшити ризики. Тому BAS має забезпечувати профілювання загроз для організацій та допомагати командам SOC визначати пріоритети.

Після профілювання загроз і пріоритезації фахівці з безпеки можуть захотіти запустити індивідуальну симуляцію атак та протестувати payload і зразки шкідливих програм, щоб змоделювати власний ландшафт загроз. BAS має надавати командам SOC можливість створювати власні симуляції загроз та кампанії атак для оцінки їхнього рівня безпеки.

8. Звіти в режимі реального часу і звіти, які можна налаштувати

Усебічна оцінка безпеки генерує багато даних, про які потрібно звітувати різним фахівцям, причетним до організації. Тому інструмент BAS повинен подавати свої висновки у форматі звітів про оцінку — тоді їх зможуть використовувати керівники, команди SOC та аудитори.
Звіт про оцінку повинен містити показники в режимі реального часу, як-от:
● загальна оцінка безпеки; ● швидкість виявлення; ● середній час виявлення (MTTD); ● статистика тенденцій; ● логування; ● виявлення; ● запобігання; ● дані про відповідність правовим вимогам.

9. Зіставлення з MITRE ATT&CK та іншими платформами

Фреймворк MITRE ATT&CK — це зрозуміла мова для фахівців з безпеки у всьому світі. Він описує дії зловмисників під час кібератак. Багато організацій та регулювальних органів використовують теплові карти, зіставлені з інфраструктурою MITRE ATT&CK, як візуальне представлення стану їх безпеки з урахуванням визначених методів зловмисників.

BAS має забезпечувати автоматичне зіставлення з платформою MITRE ATT&CK для змодельованих загроз, дій зловмисника у змодельованому сценарії атаки та виявлених прогалин у безпеці.

10. Простота використання та розгортання

Інфраструктура корпоративної кібербезпеки використовує безліч безпекових технологій, які можуть бути розгорнуті в хмарі або локально, але керування ними потребує часу та зусиль команд SOC.
BAS інструмент повинен:
● мати простий та зрозумілий інтерфейс; ● не додавати складності та робочого навантаження; ● спростити оптимізацію елементів керування безпекою; ● надати командам безпеки можливість досягати більшого ефекту, докладаючи менше зусиль; ● бути простим у розгортанні в наявній інфраструктурі організації; ● підтримувати хмарне та локальне розгортання.
Ми розповіли про основні критерії вибору BAS інструменту, але найточніший спосіб — протестувати рішення!

Джерела: [1]       "2022 Gartner® Report: Prepare for New and Unpredictable Cyberthreats," Optiv. [Online]. [2]      "Gartner Forecasts Worldwide Security and Risk Management Spending to Exceed $150 Billion in 2021," Gartner. [Online].