Breach and Attack Simulation (BAS) is een geautomatiseerde en continue softwaregebaseerde benadering van offensieve beveiliging. Vergelijkbaar met andere vormen van beveiligingsvalidatie zoals rode teaming en penetratietestenBAS vormt een aanvulling op meer traditionele beveiligingstools door cyberaanvallen te simuleren om beveiligingscontroles te testen en bruikbare inzichten te bieden.

Net als bij een red-team-oefening maken inbreuk- en aanvalssimulaties gebruik van aanvalstactieken, -technieken en -procedures (TTP's) uit de echte wereld die door hackers worden gebruikt om proactief beveiligingskwetsbaarheden te identificeren en te beperken voordat ze kunnen worden uitgebuit door daadwerkelijke bedreigingsactoren. In tegenstelling tot red teaming en pentests zijn BAS-tools echter volledig geautomatiseerd en kunnen ze met minder middelen uitgebreidere resultaten opleveren in de tijd tussen meer praktische beveiligingstests. Providers zoals SafeBreach, XM Cyber ​​en Cymulate bieden cloudgebaseerde oplossingen die de eenvoudige integratie van BAS-tools mogelijk maken zonder nieuwe hardware te implementeren.

Als validatietool voor beveiligingscontrole helpen BAS-oplossingen organisaties een beter inzicht te krijgen in hun beveiligingslacunes, en bieden ze waardevolle begeleiding voor geprioriteerd herstel.

Simulatie van inbreuken en aanvallen helpt beveiligingsteams om:

• Beperk potentiële cyberrisico’s: Biedt vroegtijdige waarschuwing voor mogelijke interne of externe bedreigingen, waardoor beveiligingsteams prioriteit kunnen geven aan herstelinspanningen voordat ze te maken krijgen met kritieke data-exfiltratie, verlies van toegang of soortgelijke nadelige gevolgen.
• Minimaliseer de kans op succesvolle cyberaanvallen: In een voortdurend veranderende bedreigingslandschapautomatisering vergroot de veerkracht door middel van continu testen.

Hoe werkt de simulatie van inbreuken en aanvallen?

BAS-oplossingen repliceren veel verschillende soorten aanvalspaden, aanvalsvectoren en aanvalsscenario's. Gebaseerd op de echte TTP's die door bedreigingsactoren worden gebruikt, zoals uiteengezet in de dreigingsinformatie in de MITRE ATT & CK en Cyber ​​Killchain-frameworks kunnen BAS-oplossingen het volgende simuleren:

• Netwerk- en infiltratieaanvallen
• Zijwaartse beweging
• Phishing
• Eindpunt- en gateway-aanvallen
• Malware-aanvallen
• Ransomware aanvallen

Ongeacht het type aanval simuleren, beoordelen en valideren BAS-platforms de meest actuele aanvalstechnieken die worden gebruikt door geavanceerde persistente bedreigingen (APT's) en andere kwaadaardige entiteiten langs het gehele aanvalspad. Zodra een aanval is voltooid, zal een BAS-platform een ​​gedetailleerd rapport verstrekken, inclusief een geprioriteerde lijst met herstelstappen, mochten er kritieke kwetsbaarheden worden ontdekt.

Het BAS-proces begint met de selectie van een specifiek aanvalsscenario vanuit een aanpasbaar dashboard. Naast het uitvoeren van vele soorten bekende aanvalspatronen die zijn afgeleid van opkomende dreigingen of op maat gedefinieerde situaties, kunnen ze ook aanvalssimulaties uitvoeren op basis van de strategieën van bekende APT-groepen, waarvan de methoden kunnen variëren afhankelijk van de bedrijfstak van een organisatie.

Nadat een aanvalsscenario is geïnitieerd, zetten BAS-tools virtuele agenten in binnen het netwerk van een organisatie. Deze agenten proberen beveiligde systemen te doorbreken en zich lateraal te verplaatsen om toegang te krijgen tot kritieke activa of gevoelige gegevens. In tegenstelling tot traditionele penetratietests of red teaming kunnen BAS-programma's inloggegevens en interne systeemkennis gebruiken waarover aanvallers mogelijk niet beschikken. Op deze manier kan BAS-software zowel buitenstaanders als buitenstaanders simuleren aanvallen met voorkennis in een proces dat vergelijkbaar is met paars teaming.

Na het voltooien van een simulatie genereert het BAS-platform een ​​uitgebreid kwetsbaarheidsrapport dat de doeltreffendheid van verschillende beveiligingscontroles valideert, van firewalls tot eindpuntbeveiliging, waaronder:

1. Netwerkbeveiligingscontroles
2. Eindpuntdetectie en respons (EDR)
3. Beveiligingscontroles voor e-mail
4. Toegangscontrolemaatregelen
5. Beleid voor kwetsbaarheidsbeheer
6. Controles op gegevensbeveiliging
7. Reactie op incidenten controles

Wat zijn de voordelen van inbreuk- en aanvalssimulatie?

Hoewel het niet bedoeld is om andere te vervangen internetveiligheid protocollen kunnen BAS-oplossingen de beveiligingspositie van een organisatie aanzienlijk verbeteren. Volgens een Onderzoeksrapport van Gartnerkan BAS beveiligingsteams helpen tot 30-50% meer kwetsbaarheden te ontdekken in vergelijking met traditionele tools voor kwetsbaarheidsbeoordeling. De belangrijkste voordelen van inbreuk- en aanvalssimulatie zijn:

1. Automatisering: Nu de aanhoudende dreiging van cyberaanvallen jaar na jaar toeneemt, staan ​​beveiligingsteams onder constante druk om op een hoger niveau van efficiëntie te opereren. BAS-oplossingen kunnen 24 uur per dag, 7 dagen per week, 365 dagen per jaar continu testen uitvoeren, zonder dat er extra personeel op locatie of daarbuiten nodig is. BAS kan ook worden gebruikt om on-demand tests uit te voeren en om in realtime feedback te geven.
2. Nauwkeurigheid: Voor elk beveiligingsteam, vooral degenen met beperkte middelen, is nauwkeurige rapportage van cruciaal belang voor een efficiënte toewijzing van middelen. De tijd die wordt besteed aan het onderzoeken van niet-kritieke of ten onrechte geïdentificeerde beveiligingsincidenten is tijdverspilling. Volgens een onderzoek van het Ponemon InstituutOrganisaties die geavanceerde tools voor bedreigingsdetectie gebruiken, zoals BAS, ondervonden een vermindering van 37% in het aantal valse positieve waarschuwingen.
3. Bruikbare inzichten: Als validatietool voor beveiligingscontrole kunnen BAS-oplossingen waardevolle inzichten opleveren die specifieke kwetsbaarheden en verkeerde configuraties benadrukken, evenals aanbevelingen voor contextuele risicobeperking die zijn afgestemd op de bestaande infrastructuur van een organisatie. Bovendien helpt datagestuurde prioritering SOC-teams om eerst hun meest kritieke kwetsbaarheden aan te pakken.
4. Verbeterde detectie en respons: Gebouwd op APT-kennisbanken zoals MITRE ATT&CK en de Cyber ​​Killchain, en ook goed te integreren met andere beveiligingstechnologieën (bijv. SIEM, SOAR), kunnen BAS-tools bijdragen aan aanzienlijk betere detectie- en responspercentages voor cyberbeveiligingsincidenten. Een onderzoek van de Enterprise Strategy Group (ESG) ontdekte dat 68% van de organisaties die BAS en SOAR samen gebruikten, verbeterde responstijden bij incidenten ervoeren. Gartner voorspelt dat in 2025 organisaties die SOAR en BAS samen gebruiken, zullen een reductie van 50% ervaren in de tijd die nodig is om incidenten te detecteren en erop te reageren.

Simulatie van inbreuken en aanvallen en beheer van aanvalsoppervlakken

Hoewel ze goed te integreren zijn met veel verschillende soorten beveiligingstools, wijzen gegevens uit de sector op een groeiende trend in de richting van het integreren van inbreuk- en aanvalssimulatie aanvalsoppervlakbeheer (ASM) hulpmiddelen in de nabije toekomst. Als Security and Trust Research Director van de International Data Corporation zei Michelle Abraham: “Het beheer van aanvalsoppervlakken en de simulatie van inbreuken en aanvallen zorgen ervoor dat veiligheidsverdedigers proactiever kunnen zijn in het beheersen van risico’s.”

Terwijl beheer van kwetsbaarheden en tools voor het scannen op kwetsbaarheden beoordelen een organisatie van binnenuit. Attack Surface Management is het voortdurend ontdekken, analyseren, herstellen en monitoren van de cyberbeveiligingskwetsbaarheden en potentiële aanvalsvectoren die deel uitmaken van het netwerk van een organisatie. aanvalsoppervlak. Net als bij andere aanvalssimulatietools gaat ASM uit van het perspectief van een aanvaller van buitenaf en beoordeelt de naar buiten gerichte aanwezigheid van een organisatie.

De steeds snellere trends in de richting van meer cloud computing, IoT-apparaten en schaduw-IT (dwz het ongeoorloofde gebruik van onbeveiligde apparaten) vergroten allemaal de potentiële cyberblootstelling van een organisatie. ASM-oplossingen scannen deze aanvalsvectoren op potentiële kwetsbaarheden, terwijl BAS-oplossingen die gegevens integreren om aanvalssimulaties en beveiligingstests beter uit te voeren om de effectiviteit van de aanwezige beveiligingscontroles te bepalen.

Het algemene resultaat is een veel duidelijker inzicht in de verdedigingsmechanismen van een organisatie, van het interne personeelsbewustzijn tot geavanceerde cloudbeveiligingsproblemen. Wanneer weten meer dan het halve werk is, is dit kritische inzicht van onschatbare waarde voor organisaties die hun beveiliging willen versterken.

Ontdek de IBM QRadar Suite