La simulation de violation et d'attaque (BAS) est une approche logicielle automatisée et continue de la sécurité offensive. Semblable à d’autres formes de validation de sécurité telles que équipe rouge ainsi que tests de pénétration, BAS complète les outils de sécurité plus traditionnels en simulant des cyberattaques pour tester les contrôles de sécurité et fournir des informations exploitables.
À la manière d’un exercice d’équipe rouge, les simulations de violations et d’attaques utilisent les tactiques, techniques et procédures d’attaque (TTP) du monde réel employées par les pirates informatiques pour identifier et atténuer de manière proactive les vulnérabilités de sécurité avant qu’elles ne puissent être exploitées par de véritables acteurs malveillants. Cependant, contrairement au Red Teaming et aux Pen Tests, les outils BAS sont entièrement automatisés et peuvent fournir des résultats plus complets avec moins de ressources entre les tests de sécurité plus pratiques. Des fournisseurs tels que SafeBreach, XM Cyber et Cymulate proposent des solutions basées sur le cloud qui permettent une intégration facile des outils BAS sans implémenter de nouveau matériel.
En tant qu'outil de validation des contrôles de sécurité, les solutions BAS aident les organisations à mieux comprendre leurs failles de sécurité et fournissent des conseils précieux pour les mesures correctives prioritaires.
La simulation des violations et des attaques aide les équipes de sécurité à :
- Atténuer les cyber-risques potentiels : Fournit une alerte précoce en cas de menaces internes ou externes possibles, permettant aux équipes de sécurité de prioriser les efforts de remédiation avant de subir une exfiltration de données critiques, une perte d'accès ou des conséquences indésirables similaires.
- Minimiser la probabilité de cyberattaques réussies: Dans un contexte en constante évolution paysage des menaces, l'automatisation augmente la résilience grâce à des tests continus.
Comment fonctionne la simulation de brèches et d’attaques ?
Les solutions BAS reproduisent de nombreux types différents de chemins d'attaque, de vecteurs d'attaque et de scénarios d'attaque. Basé sur les TTP du monde réel utilisés par les acteurs de la menace, comme indiqué dans les renseignements sur les menaces trouvés dans le MITRE ATT & CK et Cyber Killchain, les solutions BAS peuvent simuler :
- Attaques de réseau et infiltration
- Mouvement latéral
- Phishing
- Attaques de points de terminaison et de passerelles
- Attaques de logiciels malveillants
- Ransomware attaques
Quel que soit le type d'attaque, les plateformes BAS simulent, évaluent et valident les techniques d'attaque les plus récentes utilisées par les menaces persistantes avancées (APT) et autres entités malveillantes tout au long du chemin d'attaque. Une fois l'attaque terminée, une plateforme BAS fournira alors un rapport détaillé comprenant une liste prioritaire d'étapes correctives si des vulnérabilités critiques étaient découvertes.
Le processus BAS commence par la sélection d'un scénario d'attaque spécifique à partir d'un tableau de bord personnalisable. En plus d'exécuter de nombreux types de modèles d'attaques connus dérivés de menaces émergentes ou de situations personnalisées, ils peuvent également effectuer des simulations d'attaques basées sur les stratégies de groupes APT connus, dont les méthodes peuvent varier en fonction du secteur d'activité d'une organisation.
Une fois qu'un scénario d'attaque est lancé, les outils BAS déploient des agents virtuels au sein du réseau d'une organisation. Ces agents tentent de pénétrer dans les systèmes protégés et de se déplacer latéralement pour accéder à des actifs critiques ou à des données sensibles. Contrairement aux tests d'intrusion traditionnels ou au red teaming, les programmes BAS peuvent utiliser des informations d'identification et des connaissances internes du système que les attaquants ne possèdent peut-être pas. De cette manière, le logiciel BAS peut simuler à la fois des opérations externes et attaques d'initiés dans un processus similaire à l'équipe violette.
Après avoir terminé une simulation, la plateforme BAS génère un rapport de vulnérabilité complet validant l'efficacité de divers contrôles de sécurité, des pare-feu à la sécurité des points finaux, notamment :
- Contrôles de sécurité du réseau
- Détection et réponse des points finaux (EDR)
- Contrôles de sécurité des e-mails
- Mesures de contrôle d'accès
- Politiques de gestion des vulnérabilités
- Contrôles de sécurité des données
- Réponse aux incidents contrôles
Quels sont les avantages de la simulation de violation et d’attaque ?
Bien qu'il ne soit pas destiné à remplacer d'autres cybersécurité protocoles, les solutions BAS peuvent améliorer considérablement la posture de sécurité d'une organisation. Selon un Rapport de recherche Gartner, BAS peut aider les équipes de sécurité à découvrir jusqu'à 30 à 50 % de vulnérabilités en plus par rapport aux outils traditionnels d'évaluation des vulnérabilités. Les principaux avantages de la simulation de violation et d’attaque sont :
- Automation: Alors que la menace persistante des cyberattaques augmente d'année en année, les équipes de sécurité sont soumises à une pression constante pour fonctionner avec des niveaux d'efficacité accrus. Les solutions BAS ont la capacité d'effectuer des tests en continu 24 heures sur 7, 365 jours sur XNUMX, XNUMX jours par an, sans avoir besoin de personnel supplémentaire sur site ou hors site. BAS peut également être utilisé pour exécuter des tests à la demande, ainsi que pour fournir des commentaires en temps réel.
- Précision: Pour toute équipe de sécurité, en particulier celle dont les ressources sont limitées, des rapports précis sont essentiels pour une allocation efficace des ressources : le temps passé à enquêter sur des incidents de sécurité non critiques ou faussement identifiés est du temps perdu. Selon une étude du Ponemon Institute, les organisations utilisant des outils avancés de détection des menaces tels que BAS ont constaté une réduction de 37 % des alertes faussement positives.
- Informations exploitables : En tant qu'outil de validation des contrôles de sécurité, les solutions BAS peuvent produire des informations précieuses mettant en évidence des vulnérabilités et des erreurs de configuration spécifiques, ainsi que des recommandations contextuelles d'atténuation adaptées à l'infrastructure existante d'une organisation. De plus, la priorisation basée sur les données aide les équipes SOC à traiter en premier leurs vulnérabilités les plus critiques.
- Détection et réponse améliorées: Construit sur des bases de connaissances APT comme MITRE ATT&CK et Cyber Killchain, et s'intégrant également bien avec d'autres technologies de sécurité (par exemple, SIEM, SOAR), les outils BAS peuvent contribuer à améliorer considérablement les taux de détection et de réponse aux incidents de cybersécurité. Une étude de l’Enterprise Strategy Group (ESG) ont constaté que 68 % des organisations utilisant BAS et SOAR ensemble ont constaté une amélioration des temps de réponse aux incidents. Gartner prédit que d'ici 2025, les organisations utilisant SOAR et BAS ensemble bénéficieront d’une réduction de 50 % dans le temps nécessaire pour détecter et répondre aux incidents.
Simulation de brèches et d’attaques et gestion de la surface d’attaque
Bien qu'elles s'intègrent bien à de nombreux types d'outils de sécurité, les données du secteur indiquent une tendance croissante à intégrer la simulation des violations et des attaques et gestion des surfaces d'attaque (ASM) outils dans un avenir proche. Comme l'a déclaré Michelle Abraham, directrice de la recherche sur la sécurité et la confiance à l'International Data Corporation, « la gestion de la surface d'attaque et la simulation des violations et des attaques permettent aux défenseurs de la sécurité d'être plus proactifs dans la gestion des risques ».
Tandis que gestion des vulnérabilités et les outils d'analyse des vulnérabilités évaluent une organisation de l'intérieur, la gestion de la surface d'attaque est la découverte, l'analyse, la correction et la surveillance continues des vulnérabilités de cybersécurité et des vecteurs d'attaque potentiels qui constituent la stratégie d'une organisation. surface d'attaque. À l'instar d'autres outils de simulation d'attaques, ASM adopte le point de vue d'un attaquant extérieur et évalue la présence extérieure d'une organisation.
Les tendances accélérées vers l'augmentation du cloud computing, des appareils IoT et du shadow IT (c'est-à-dire l'utilisation non autorisée d'appareils non sécurisés) augmentent toutes la cyber-exposition potentielle d'une organisation. Les solutions ASM analysent ces vecteurs d'attaque à la recherche de vulnérabilités potentielles, tandis que les solutions BAS intègrent ces données pour mieux effectuer des simulations d'attaques et des tests de sécurité afin de déterminer l'efficacité des contrôles de sécurité en place.
Le résultat global est une compréhension beaucoup plus claire des défenses d'une organisation, depuis la sensibilisation des employés internes jusqu'aux préoccupations sophistiquées en matière de sécurité du cloud. Alors que la connaissance représente plus de la moitié de la bataille, cette information essentielle est inestimable pour les organisations qui cherchent à renforcer leur sécurité.
Cet article a-t-il été utile?
OuiNon
Plus de sécurité
Bulletins d'information IBM
Recevez nos newsletters et nos mises à jour thématiques qui fournissent les dernières idées en matière de leadership éclairé et d'informations sur les tendances émergentes.
S'abonner
Plus de newsletters
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.ibm.com/blog/breach-attack-simulation/