Breach and Attack Simulation (BAS) ist ein automatisierter und kontinuierlicher softwarebasierter Ansatz für offensive Sicherheit. Ähnlich wie bei anderen Formen der Sicherheitsvalidierung, z rotes Teaming und BAS ergänzt traditionellere Sicherheitstools, indem es Cyberangriffe simuliert, um Sicherheitskontrollen zu testen und umsetzbare Erkenntnisse zu liefern.

Wie bei einer Red-Team-Übung nutzen Verstoß- und Angriffssimulationen die von Hackern eingesetzten realen Angriffstaktiken, -techniken und -verfahren (TTPs), um Sicherheitslücken proaktiv zu identifizieren und zu beheben, bevor sie von tatsächlichen Bedrohungsakteuren ausgenutzt werden können. Im Gegensatz zu Red Teaming und Pen-Tests sind BAS-Tools jedoch vollständig automatisiert und können in der Zeit zwischen weiteren praktischen Sicherheitstests umfassendere Ergebnisse mit weniger Ressourcen liefern. Anbieter wie SafeBreach, XM Cyber ​​und Cymulate bieten cloudbasierte Lösungen an, die eine einfache Integration von BAS-Tools ohne Implementierung neuer Hardware ermöglichen.

Als Tool zur Validierung von Sicherheitskontrollen helfen BAS-Lösungen Unternehmen dabei, ihre Sicherheitslücken besser zu verstehen und bieten wertvolle Hinweise für die priorisierte Behebung.

Die Simulation von Sicherheitsverletzungen und Angriffen hilft Sicherheitsteams dabei:

• Potenzielles Cyber-Risiko mindern: Bietet Frühwarnung vor möglichen internen oder externen Bedrohungen und ermöglicht es Sicherheitsteams, Abhilfemaßnahmen zu priorisieren, bevor es zu einer kritischen Datenexfiltration, einem Zugriffsverlust oder ähnlichen nachteiligen Folgen kommt.
• Minimieren Sie die Wahrscheinlichkeit erfolgreicher Cyberangriffe: In einem ständigen Wandel Bedrohungslandschaft, Automatisierung erhöht die Ausfallsicherheit durch kontinuierliche Tests.

Wie funktioniert die Simulation von Sicherheitsverletzungen und Angriffen?

BAS-Lösungen replizieren viele verschiedene Arten von Angriffspfaden, Angriffsvektoren und Angriffsszenarien. Basierend auf den realen TTPs, die von Bedrohungsakteuren verwendet werden, wie in den Bedrohungsinformationen im dargelegt MITRE ATT & CK und Cyber ​​Killchain-Frameworks können BAS-Lösungen Folgendes simulieren:

• Netzwerk- und Infiltrationsangriffe
• Seitliche Bewegung
• Phishing
• Endpoint- und Gateway-Angriffe
• Malware-Angriffe
• Ransomware Attacken

Unabhängig von der Art des Angriffs simulieren, bewerten und validieren BAS-Plattformen die aktuellsten Angriffstechniken, die von Advanced Persistent Threats (APTs) und anderen bösartigen Einheiten entlang des gesamten Angriffspfads verwendet werden. Sobald ein Angriff abgeschlossen ist, stellt eine BAS-Plattform einen detaillierten Bericht einschließlich einer priorisierten Liste von Abhilfemaßnahmen bereit, falls kritische Schwachstellen entdeckt werden.

Der BAS-Prozess beginnt mit der Auswahl eines bestimmten Angriffsszenarios aus einem anpassbaren Dashboard. Sie können nicht nur viele Arten bekannter Angriffsmuster ausführen, die von neu auftretenden Bedrohungen oder benutzerdefinierten Situationen abgeleitet sind, sondern auch Angriffssimulationen durchführen, die auf den Strategien bekannter APT-Gruppen basieren, deren Methoden je nach Branche einer Organisation variieren können.

Nachdem ein Angriffsszenario eingeleitet wurde, stellen BAS-Tools virtuelle Agenten im Netzwerk einer Organisation bereit. Diese Agenten versuchen, in geschützte Systeme einzudringen und seitlich vorzudringen, um auf kritische Vermögenswerte oder sensible Daten zuzugreifen. Im Gegensatz zu herkömmlichen Penetrationstests oder Red Teaming können BAS-Programme Anmeldeinformationen und internes Systemwissen verwenden, über das Angreifer möglicherweise nicht verfügen. Auf diese Weise kann die BAS-Software sowohl Außenstehende als auch Außenstehende simulieren Insider-Attacken in einem Prozess, der dem Purple Teaming ähnelt.

Nach Abschluss einer Simulation generiert die BAS-Plattform einen umfassenden Schwachstellenbericht, der die Wirksamkeit verschiedener Sicherheitskontrollen von Firewalls bis hin zur Endpunktsicherheit validiert, darunter:

1. Netzwerksicherheitskontrollen
2. Endpunkterkennung und -antwort (EDR)
3. E-Mail-Sicherheitskontrollen
4. Maßnahmen zur Zugangskontrolle
5. Richtlinien zur Schwachstellenverwaltung
6. Datensicherheitskontrollen
7. Reaktion auf Vorfälle Steuerung

Welche Vorteile bietet die Simulation von Verstößen und Angriffen?

Obwohl nicht dazu gedacht, andere zu ersetzen Internet-Sicherheit Protokolle können BAS-Lösungen die Sicherheitslage eines Unternehmens erheblich verbessern. Laut a Gartner-ForschungsberichtBAS kann Sicherheitsteams dabei helfen, im Vergleich zu herkömmlichen Tools zur Schwachstellenbewertung bis zu 30–50 % mehr Schwachstellen aufzudecken. Die Hauptvorteile der Simulation von Sicherheitsverletzungen und Angriffen sind:

1. Automation: Da die anhaltende Bedrohung durch Cyberangriffe von Jahr zu Jahr zunimmt, stehen Sicherheitsteams unter ständigem Druck, effizienter zu arbeiten. BAS-Lösungen sind in der Lage, 24 Stunden am Tag, 7 Tage die Woche und 365 Tage im Jahr kontinuierliche Tests durchzuführen, ohne dass zusätzliches Personal vor Ort oder außerhalb erforderlich ist. Mit BAS können auch On-Demand-Tests durchgeführt und Feedback in Echtzeit bereitgestellt werden.
2. Genauigkeit: Für jedes Sicherheitsteam, insbesondere für solche mit begrenzten Ressourcen, ist eine genaue Berichterstattung für eine effiziente Ressourcenzuweisung von entscheidender Bedeutung – Zeit, die für die Untersuchung unkritischer oder falsch identifizierter Sicherheitsvorfälle aufgewendet wird, ist verschwendete Zeit. Entsprechend eine Studie des Ponemon InstituteUnternehmen, die fortschrittliche Bedrohungserkennungstools wie BAS verwenden, verzeichneten einen Rückgang falsch-positiver Warnungen um 37 %.
3. Umsetzbare Erkenntnisse: Als Validierungstool für Sicherheitskontrollen können BAS-Lösungen wertvolle Erkenntnisse liefern, die spezifische Schwachstellen und Fehlkonfigurationen hervorheben, sowie kontextbezogene Abhilfemaßnahmenempfehlungen, die auf die bestehende Infrastruktur einer Organisation zugeschnitten sind. Darüber hinaus hilft die datengesteuerte Priorisierung den SOC-Teams, ihre kritischsten Schwachstellen zuerst zu beheben.
4. Verbesserte Erkennung und Reaktion: Basiert auf APT-Wissensdatenbanken wie MITRE ATT&CK und der Cyber ​​Killchain und lässt sich auch gut mit anderen Sicherheitstechnologien integrieren (z. B. SIEM, STEIGEN) können BAS-Tools zu deutlich verbesserten Erkennungs- und Reaktionsraten bei Cybersicherheitsvorfällen beitragen. Eine Studie der Enterprise Strategy Group (ESG) fanden heraus, dass 68 % der Organisationen, die BAS und SOAR zusammen nutzen, verbesserte Reaktionszeiten bei Vorfällen verzeichneten. Gartner prognostiziert, dass bis 2025 Organisationen, die SOAR und BAS gemeinsam nutzen, werden eine Reduzierung um 50 % verzeichnen in der Zeit, die benötigt wird, um Vorfälle zu erkennen und darauf zu reagieren.

Simulation von Sicherheitsverletzungen und Angriffen sowie Angriffsflächenmanagement

Trotz der guten Integration in viele verschiedene Arten von Sicherheitstools deuten Branchendaten auf einen wachsenden Trend hin zur Integration von Sicherheitsverletzungs- und Angriffssimulationen hin Angriffsflächenmanagement (ASM) Werkzeuge in naher Zukunft. Michelle Abraham, Direktorin für Sicherheits- und Vertrauensforschung bei der International Data Corporation, sagte: „Das Angriffsflächenmanagement sowie die Simulation von Sicherheitsverletzungen und Angriffen ermöglichen es Sicherheitsverteidigern, bei der Risikobewältigung proaktiver vorzugehen.“

Während Schwachstellenmanagement und Schwachstellen-Scanning-Tools bewerten eine Organisation von innen heraus. Unter Angriffsflächenmanagement versteht man die kontinuierliche Entdeckung, Analyse, Behebung und Überwachung der Cybersicherheitsschwachstellen und potenziellen Angriffsvektoren, aus denen eine Organisation besteht Angriffsfläche. Ähnlich wie andere Angriffssimulationstools nimmt ASM die Perspektive eines externen Angreifers ein und bewertet die nach außen gerichtete Präsenz einer Organisation.

Die sich beschleunigenden Trends hin zu verstärktem Cloud Computing, IoT-Geräten und Schatten-IT (d. h. der unbefugten Nutzung ungesicherter Geräte) erhöhen alle die potenzielle Cyber-Gefährdung eines Unternehmens. ASM-Lösungen scannen diese Angriffsvektoren auf potenzielle Schwachstellen, während BAS-Lösungen diese Daten integrieren, um Angriffssimulationen und Sicherheitstests besser durchzuführen und die Wirksamkeit vorhandener Sicherheitskontrollen zu bestimmen.

Das Gesamtergebnis ist ein viel klareres Verständnis der Abwehrmaßnahmen einer Organisation, von der Sensibilisierung der internen Mitarbeiter bis hin zu anspruchsvollen Cloud-Sicherheitsbedenken. Wenn Wissen mehr als die halbe Miete ist, ist diese entscheidende Erkenntnis für Unternehmen, die ihre Sicherheit stärken möchten, von unschätzbarem Wert.

Entdecken Sie die IBM QRadar Suite