Nasimulujte si skutečné útoky hackerů

Trh s BAS

Existují specializovaní poskytovatelé BAS, dodavatelé, kteří nabízejí BAS i penetrační testování a další související služby, nebo větší dodavatelé kybernetické bezpečnosti či poskytovatelé služeb, již mají BAS jako součást svého širšího portfolia kybernetické bezpečnosti, popisuje analytik Chirag Mehta ze společnosti Constellation Research.

Je pravděpodobné, že v tomto odvětví dojde k další konsolidaci. „Pokud máte nástroj, který dokáže simulovat útoky, je dalším logickým krokem těmto útokům zabránit,“ konstatuje Mehta.

To však vyžaduje integraci s různými druhy nástrojů. „A to není tak jednoduché.“

Gartner předpovídá, že do roku 2026 bude více než 40 % organizací při posouzení kybernetické bezpečnosti využívat konsolidované platformy nebo poskytovatele spravovaných služeb.

Možnou nevýhodou získání BAS od dodavatele, který nabízí i XDR, je například to, že zákazník možná nebude chtít mít stejného dodavatele poskytujícího obranné schopnosti i testování, aby se zjistilo, zda tyto obranné schopnosti skutečně fungují tak, jak by měly.

Dalším velkým trendem tohoto sektoru – stejně jako ve všech ostatních oblastech kybernetického zabezpečení – je to, že dodavatelé hledají příležitosti k integraci generativní umělé inteligence do svých produktů.

„Když se podíváte na produkty dodavatelů simulací narušení a útoků, najdete tam už hodně strojového učení,“ popisuje Erik Nost, analytik společnosti Forrester Research.

Generativní AI je podle jeho slov evoluční záležitost. První oblastí, kde pravděpodobně uvidíme generativní umělou inteligenci, je uživatelské rozhraní. „Nová využitelnost generativní umělé inteligence spočívá ve skvělém způsobu interakce s daty,“ popisuje Nost.

V budoucnu bychom se také mohli dočkat schopnosti AI modelovat hrozby na základě zpravodajských informací, prohlašuje Nost, nebo typů útoků, o něž mají uživatelé největší zájem nebo které by s nejvyšší pravděpodobností ovlivnily jejich organizace.

Generativní umělá inteligence by se také mohla použít k tomu, aby společnostem pomohla porozumět problémům, které nalezl nástroj BAS, ke stanovení priorit a k návrhu konkrétních nápravných opatření.

Přečtěte si také:

Objevte nejlepší nástroje pro penetrační testování

Podle Gartneru jsou typickými zákazníky se zájmem o BAS finanční instituce a pojišťovny. S rostoucí regulací však stále více společností čelí požadavkům na dodržování předpisů, jež se zaměřují na testování účinnosti opatření kybernetického zabezpečení.

BAS je obvykle drahá záležitost, takže to není produkt, který kupují menší společnosti s malým rozpočtem nebo provozními omezeními, dodává Ilia Rabinovich, šéf pro nepřátelské taktiky ve společnosti Sygnia.

Vlastnosti BAS

Hlavní funkce, které by společnosti měly v nástrojích BAS hledat, jsou následující:

• Reprezentativní útočné vektory pro simulaci široké řady útoků relevantních pro vaši společnost.
• Realistické scénáře útoků s podobností tomu, co útočníci ve skutečnosti používají, s využitím frameworků, jako je např. Mitre ATT&CK.
• Přizpůsobitelné scénáře pro testování jedinečných aspektů vaší infrastruktury.
• Automatizované testování, aby simulace mohly běžet pravidelně a efektivně, aniž by to ovlivnilo provoz nebo vyžadovalo další personál.
• Podrobné reportování a analýzy, které pomohou vysvětlit, co dané testy znamenají, a identifikovat oblasti vyžadující zlepšení.
• Schopnost přizpůsobení kapacity pro současnou i budoucí velikost a složitost podnikového prostředí.
• Schopnost testování napříč hybridními prostředími v produkčním prostředí, což je zásadní pro zjištění, jak fungují opatření v reálných podmínkách.
• Snadné použití a nasazení včetně předpřipravené integrace s vašimi dosavadními bezpečnostními nástroji a platformami.
• Odborná pomoc a podpora, zejména pro společnosti, které nemají s BAS zkušenosti, nebo ty, jež nemají velké a zkušené týmy zabezpečení.
• A samozřejmě náklady. Dodavatelé BAS obvykle nezveřejňují informace o cenách a cenové modely se mohou lišit. Ověřte si, zda je cenová struktura vhodná pro případ použití ve vaší organizaci.

Přední dodavatelé BAS

Společnost Expert Insights zaměřená na výzkum podnikových technologií sestavila seznam devíti klíčových dodavatelů BAS. Tento soupis zohledňuje hlavní funkce, jako jsou emulace hrozeb, podrobnost reportů a snadnost integrace.

Toto je oněch devět vybraných firem/řešení: AttackIQ, Cymulate, Fortinet FortiTester, Mandiant Red Team Assessment, NetSPI Breach and Attack Simulation, Picus Security, RedScan Breach and Attack Simulation, ReliaQuest GreyMatter Verify a SafeBreach Breach and Attack Simulation Platform.

Cymulate, Picus, AttackIQ, SafeBreach, Fortinet a NetSPI patří také k hlavním dodavatelům podle hodnocení těchto nástrojů publikovaného společností Gartner. Seznam Gartneru je obsáhlejší a uvádí celkem sedmnáct dodavatelů, ale šest z nich nezískalo žádné zákaznické recenze, zatímco firmy jako XM Cyber a Keysight mají v systému vysoké hodnocení, přestože v seznamu společnosti Expert Insights nejsou.

• AttackIQ

Podle Expert Insights základní emulační platforma AttackIQ replikuje taktiky, techniky a postupy protivníka v souladu s frameworkem Mitre ATT&CK.

Tato společnost nedávno vydala druhou generaci své spravované platformy BAS v podobě služby (BASaaS, Breach and Attack Simulation-as-a-Service) s označením Ready!, aby organizacím usnadnila a zrychlila zavedení programu kontinuálního ověřování zabezpečení.

Dalším hlavním produktem BAS společnosti AttackIQ je Flex, testovací služba na vyžádání bez potřeby agentů, jejíž cena je založená na výsledcích, a nikoliv na počtu testů či licencí.

AttackIQ je také známá svou schopností testovat komponenty kybernetické bezpečnosti založené na ML a AI.

Podle Carla Wrighta, tamějšího obchodního ředitele, je jejich společnost jediným dodavatelem BAS, který nabízí jak samoobslužná, tak plně spravovaná BAS řešení i řešení v podobě společně spravované služby.

To znamená, že její produkty „mohou vyhovět potřebám organizace, jejímu rozpočtu a způsobu, jakým chce takové schopnosti využívat“.

AttackIQ pracuje na využití AI ke zlepšení svých emulací. To pomůže zákazníkům zrychlit testovací cyklus, komentuje Wright, zkrátit čas potřebný k nalezení a nápravě bezpečnostních mezer a automaticky generovat sigma pravidla pro případy použití v detekčním inženýrství.

• Cymulate

Podle Expert Insights je Cymulate předním dodavatelem pro kontinuální řízení expozice hrozbám a zároveň je nejlépe hodnoceným dodavatelem podle Peer Reviews od Gartneru.

Stejně jako AttackIQ používá i Cymulate framework Mitre ATT&CK a je známý pro svou použitelnost a uživatelskou zkušenost.

Cymulate se nasazuje jako řešení SaaS s možností privátního pronájmu pro podniky, které vyžadují segregaci dat. V současné době trvá nasazení nástroje s nastavením integrací tři až čtyři týdny, uvádí Nir Loya Dahan, produktový viceprezident společnosti Cymulate.

Společnost plánuje brzy využít generativní AI ke zkrácení této doby na pouhé minuty. Chystá také využití generativní AI k automatickému vytváření scénářů útoků, k redukci počtu tisíců – nebo stovek tisíc – výsledků simulací útoků. GenAI pak stanoví jasnou strategii zmírňování a vysvětlí bezpečnostním týmům, jak to celé zrealizovat.

Tyto funkce se začnou postupně zavádět během několika příštích měsíců a celá sada bude k dispozici do konce letošního roku, plánuje Dahan.

• Fortinet FortiTester

FortiTester nabízí simulační testování Mitre ATT&CK, IPS testy založené na CVE i generování DDoS a dokáže simulovat různé typy provozu včetně SSL, uvádí Expert Insights.

Kombinuje také BAS s testováním výkonu sítě, a vytváří tak komplexní nástroj. Nemá však tak vysoké hodnocení v Gartner Peer Insights jako některé z předchozích nástrojů.

• Mandiant

Společnost Mandiant je známější pro své služby threat intelligence, ale nabízí také simulaci narušení a útoků (BAS) prostřednictvím svého softwaru Mandiant Advantage Security Validation.

Expertiza threat intelligence je do jejího produktu BAS integrovaná, což ho pomáhá odlišit od konkurence.

K funkcím patří mapování frameworku Mitre ATT&CK, automatická detekce a upozornění na posun prostředí a simulace reálných útoků.

• NetSPI

NetSPI je nejvíce známá pro své penetrační testování, ale může také ověřovat fungování opatření, identifikovat mezery v detekci a poskytovat správu útočného prostoru tím, že detekuje potenciální zranitelnosti v aktivech vystavených veřejnosti.

Expertiza v oblasti penetračního testování znamená, že zákazníci společnosti NetSPI mohou získat praktickou podporu, vysvětluje Derek Wilson, hlavní bezpečnostní konzultant této společnosti.

„Náš tým zkušených penetračních testérů se telekonferencí spojí s vaším týmem provozního centra zabezpečení (SOC, Security Operation Center), nasdílejí si obrazovky, projdou společně potřebnou část našich postupů a vytvoří záznam o souvisejících detekcích a prevenci.“

NetSPI v současné době používá generativní AI k vytvoření funkce doporučení s prioritami. „Budeme moci používat více zdrojů dat a rychle identifikovat a stanovit priority pro jednotlivé testy, které by koncovému uživateli poskytly největší hodnotu,“ popisuje Wilson.

K dalšímu potenciálnímu využití generativní umělé inteligence patří dynamické generování scénářů na základě nejnovějších informací o hrozbách pro konkrétní průmyslová odvětví a vytváření dynamických řetězců útoků či pomoc při identifikaci míst, kde nemusí existovat dostatečné pokrytí.

• Picus Security

Picus je podle recenzí Gartner Peer Reviews druhým nejlépe hodnoceným dodavatelem BAS a ve zprávě Gartneru pro rok 2024 byl označen jako „volba zákazníků (Customer’s Choice)“ pro BAS.  Společnost tvrdí, že má stovky zákazníků po celém světě včetně firem Mastercard a ING.

Platforma Picus Security Validation zahrnuje BAS jako základní řešení, ale nabízí také automatizované penetrační testování a správu útočného prostoru, uvádí Volkan Erturk, technický ředitel této společnosti.

Podporuje také optimalizaci centra SOC a správu stavu zabezpečení cloudu (CSPM, Cloud Security Posture Management), popisuje.

Společnost také výrazně investuje do umělé inteligence a nabízí funkci bezpečnostního analytika založenou na generativní AI, která může organizacím nabídnout informace o stavu jejich zabezpečení.

„Uživatelé mohou kladením otázek okamžitě zkontrolovat výsledky hodnocení bezpečnostní validace a získat pro sebe přizpůsobená doporučení ke stanovení priorit a řešení hrozeb na základě profilu hrozeb jejich organizace a nejnovějších informací threat intelligence,“ tvrdí Erturk.

Nástroj poháněný generativní umělou inteligencí dokáže inteligentně mapovat pravidla SIEM organizace na framework Mitre ATT&CK a poskytovat doporučení založená na umělé inteligenci ke zmírnění nedostatků v pokrytí hrozeb a viditelnosti.

• Redscan Breach and Attack Simulation

Společnost Redscan se specializuje na spravovanou detekci a reakci (MDR, Managed Detection and Response) a penetrační testování. Výsledkem této kombinace je, že přináší praktický přístup k simulacím narušení a útoků.

Vytváří simulace narušení přizpůsobené pro společnosti na základě desítek let zkušeností s reakcemi na incidenty a testováním. Redscan také poskytuje odborné rady pro další kroky následující po simulaci.

• Reliaquest GreyMatter Verify

Firma ReliaQuest je známá svou platformou GreyMatter pro provoz zabezpečení. Gartner ji vloni v létě zařadil mezi dodavatele typu „volba zákazníků (customer’s choice)“ v kategorii MDR s tím, že 94 % klientů uvádí, že ji mohou doporučit, a to se zvláštním důrazem v segmentu středně velkých podniků.

Produkt Verify nabízí plně vybavené a v praxi otestované scénáře, které mohou bezpečnostní analytici spustit a okamžitě získat výsledky.

Tento dodavatel často aktualizuje scénáře útoků na základě nejnovějších informací threat intelligence. Mapuje pokrytí hrozeb na bezpečnostní frameworky, jako je např. Mitre ATT&CK, kontroluje, zda dosavadní bezpečnostní produkty fungují, a dokáže vyhodnotit, jestli budou nová bezpečnostní opatření účinná.

Podniky, kterým nevadí mít BAS a MDR od stejného dodavatele, mohou tuto integraci ocenit.

• SafeBreach

Gartner uvádí firmu SafeBreach jako čtvrtého nejlépe hodnoceného specializovaného dodavatele BAS. Ta je známá svou integrací s dalšími bezpečnostními nástroji a jako své zákazníky uvádí např. společnosti Netflix, PayPal, Pepsi nebo Carlsberg Group.

BAS od  SafeBreach testuje účinnost dosavadních bezpečnostních opatření pomocí více než 25 tisíc metod útoků ze své kolekce Hacker’s Playbook. Uvádí, že nové hrozby přidává do své platformy nejpozději do 24 hodin.

Zákazníci mohou vytvářet přizpůsobené simulace útoků, platforma používá framework Mitre ATT&CK a také poskytuje odhad nákladů na úsilí o snížení rizik.

Co před nákupem?

Nost ze společnosti Forrester doporučuje, aby podniky začaly svou cestu za BAS tím, že získají dobrý přehled o systémech a opatřeních, co skutečně mají. „Nechcete být ukvapení a začít používat BAS, když nevíte, co byste měli testovat.“

Další otázky, které je vhodné zvážit před výběrem dodavatele:

• Jak pomocí svých produktů umožňují zlepšení detekce?
• Jsou schopni realizovat testování ve velkém měřítku a v produkčním prostředí s minimálním dopadem na prostředí zákazníka?
• Jaký druh výzkumu dodavatel vykonává ohledně nejnovějších hrozeb a útočníků?
• Jak často se aktualizuje knihovna hrozeb od dodavatele?
• Lze se podívat na ukázkovou zprávu, aby zákazník předem viděl, jak se výsledky simulace prezentují?
• Jsou tyto platformy otevřené, nebo je to jen testování stylem černé skříňky? To znamená, zda jsou testy dodavatelů transparentní, abyste mohli pochopit, co dělají.
• Vyžadují regulační orgány nasazení ve vlastní infrastruktuře zákazníka, nebo implementaci s oddělením tzv. vzduchovou mezerou (tedy bezpečnou fyzickou separací)? Pokud ano, zkontrolujte, zda dodavatelé BAS tyto možnosti nabízejí – většina podporuje jen službu SaaS.