Mô phỏng tấn công và vi phạm (BAS) là một phương pháp tiếp cận dựa trên phần mềm tự động và liên tục để bảo mật tấn công. Tương tự như các hình thức xác thực bảo mật khác như đội đỏ và thâm nhập thử nghiệm, BAS bổ sung cho các công cụ bảo mật truyền thống hơn bằng cách mô phỏng các cuộc tấn công mạng để kiểm tra các biện pháp kiểm soát bảo mật và cung cấp thông tin chi tiết hữu ích.

Giống như cuộc tập trận của đội đỏ, các mô phỏng tấn công và vi phạm sử dụng các chiến thuật, kỹ thuật và quy trình tấn công trong thế giới thực (TTP) được tin tặc sử dụng để chủ động xác định và giảm thiểu các lỗ hổng bảo mật trước khi chúng có thể bị các tác nhân đe dọa thực tế khai thác. Tuy nhiên, không giống như kiểm tra nhóm và kiểm tra bút, các công cụ BAS hoàn toàn tự động và có thể cung cấp kết quả toàn diện hơn với ít tài nguyên hơn trong khoảng thời gian giữa các kiểm tra bảo mật thực hành hơn. Các nhà cung cấp như SafeBreach, XM Cyber ​​và Cymulate cung cấp các giải pháp dựa trên đám mây cho phép tích hợp dễ dàng các công cụ BAS mà không cần triển khai bất kỳ phần cứng mới nào.

Là một công cụ xác thực kiểm soát bảo mật, các giải pháp BAS giúp các tổ chức hiểu rõ hơn về các lỗ hổng bảo mật của họ, cũng như cung cấp hướng dẫn có giá trị để ưu tiên khắc phục.

Mô phỏng vi phạm và tấn công giúp các nhóm bảo mật:

• Giảm thiểu rủi ro mạng tiềm ẩn: Cung cấp cảnh báo sớm về các mối đe dọa bên trong hoặc bên ngoài có thể xảy ra, giúp các nhóm bảo mật ưu tiên nỗ lực khắc phục trước khi gặp bất kỳ sự cố đánh cắp dữ liệu quan trọng nào, mất quyền truy cập hoặc các kết quả bất lợi tương tự.
• Giảm thiểu khả năng tấn công mạng thành công: Trong sự dịch chuyển không ngừng cảnh quan đe dọa, tự động hóa làm tăng khả năng phục hồi thông qua thử nghiệm liên tục.

Mô phỏng vi phạm và tấn công hoạt động như thế nào?

Các giải pháp BAS tái tạo nhiều loại đường tấn công, vectơ tấn công và kịch bản tấn công khác nhau. Dựa trên các TTP trong thế giới thực được các tác nhân đe dọa sử dụng như được nêu trong thông tin tình báo về mối đe dọa được tìm thấy trong MITER ATT & CK và các khung Cyber ​​Killchain, các giải pháp BAS có thể mô phỏng:

• Tấn công mạng và xâm nhập
• Phong trào bên
• Lừa đảo
• Tấn công điểm cuối và cổng
• Tấn công phần mềm độc hại
• ransomware các cuộc tấn công

Bất kể loại tấn công nào, nền tảng BAS đều mô phỏng, đánh giá và xác thực các kỹ thuật tấn công mới nhất được sử dụng bởi các mối đe dọa liên tục nâng cao (APT) và các thực thể độc hại khác dọc theo toàn bộ đường tấn công. Sau khi cuộc tấn công hoàn tất, nền tảng BAS sẽ cung cấp báo cáo chi tiết bao gồm danh sách các bước khắc phục được ưu tiên nếu phát hiện bất kỳ lỗ hổng nghiêm trọng nào.

Quá trình BAS bắt đầu bằng việc chọn một kịch bản tấn công cụ thể từ bảng điều khiển có thể tùy chỉnh. Bên cạnh việc chạy nhiều loại kiểu tấn công đã biết bắt nguồn từ các mối đe dọa mới nổi hoặc các tình huống được xác định tùy chỉnh, họ cũng có thể thực hiện mô phỏng tấn công dựa trên chiến lược của các nhóm APT đã biết. Phương pháp của họ có thể khác nhau tùy thuộc vào ngành nhất định của tổ chức.

Sau khi kịch bản tấn công được bắt đầu, các công cụ BAS sẽ triển khai các tác nhân ảo trong mạng của tổ chức. Các tác nhân này cố gắng vi phạm các hệ thống được bảo vệ và di chuyển theo chiều ngang để truy cập vào các tài sản quan trọng hoặc dữ liệu nhạy cảm. Không giống như thử nghiệm thâm nhập truyền thống hoặc nhóm đỏ, các chương trình BAS có thể sử dụng thông tin xác thực và kiến ​​thức hệ thống nội bộ mà kẻ tấn công có thể không có. Bằng cách này, phần mềm BAS có thể mô phỏng cả người ngoài và tấn công nội gián trong một quá trình tương tự như việc lập nhóm màu tím.

Sau khi hoàn thành mô phỏng, nền tảng BAS tạo ra một báo cáo lỗ hổng toàn diện xác thực tính hiệu quả của các biện pháp kiểm soát bảo mật khác nhau từ tường lửa đến bảo mật điểm cuối, bao gồm:

1. Kiểm soát an ninh mạng
2. Phát hiện và phản hồi điểm cuối (EDR)
3. Kiểm soát bảo mật email
4. Các biện pháp kiểm soát truy cập
5. Chính sách quản lý lỗ hổng
6. Kiểm soát bảo mật dữ liệu
7. Ứng phó sự cố điều khiển

Lợi ích của việc mô phỏng vi phạm và tấn công là gì?

Mặc dù không có ý định thay thế khác an ninh mạng các giao thức, giải pháp BAS có thể cải thiện đáng kể tình trạng bảo mật của tổ chức. Theo một Báo cáo nghiên cứu của Gartner, BAS có thể giúp các nhóm bảo mật phát hiện nhiều lỗ hổng hơn tới 30-50% so với các công cụ đánh giá lỗ hổng truyền thống. Những lợi ích chính của mô phỏng vi phạm và tấn công là:

1. Tự động hóa: Khi mối đe dọa dai dẳng về các cuộc tấn công mạng tăng lên hàng năm, các nhóm bảo mật luôn phải chịu áp lực phải hoạt động ở mức độ hiệu quả cao hơn. Các giải pháp BAS có khả năng chạy thử nghiệm liên tục 24 giờ một ngày, 7 ngày một tuần, 365 ngày một năm mà không cần thêm bất kỳ nhân viên nào tại cơ sở hoặc bên ngoài cơ sở. BAS cũng có thể được sử dụng để chạy thử nghiệm theo yêu cầu cũng như cung cấp phản hồi trong thời gian thực.
2. tính chính xác: Đối với bất kỳ nhóm bảo mật nào, đặc biệt là những nhóm có nguồn lực hạn chế, việc báo cáo chính xác là rất quan trọng để phân bổ nguồn lực hiệu quả—thời gian dành cho việc điều tra các sự cố bảo mật không nghiêm trọng hoặc được xác định sai là lãng phí thời gian. Dựa theo một nghiên cứu của Viện Ponemon, các tổ chức sử dụng các công cụ phát hiện mối đe dọa tiên tiến như BAS đã giảm 37% số cảnh báo sai.
3. Thông tin chi tiết hữu ích: Là một công cụ xác thực kiểm soát bảo mật, các giải pháp BAS có thể tạo ra những hiểu biết có giá trị làm nổi bật các lỗ hổng và cấu hình sai cụ thể, cũng như các đề xuất giảm thiểu theo ngữ cảnh được điều chỉnh cho phù hợp với cơ sở hạ tầng hiện có của tổ chức. Ngoài ra, ưu tiên dựa trên dữ liệu giúp các nhóm SOC giải quyết các lỗ hổng nghiêm trọng nhất của họ trước tiên.
4. Cải thiện khả năng phát hiện và phản hồi: Được xây dựng trên nền tảng kiến ​​thức APT như MITER ATT&CK và Cyber ​​Killchain, đồng thời tích hợp tốt với các công nghệ bảo mật khác (ví dụ: SIÊM, BAY LÊN), các công cụ BAS có thể góp phần cải thiện đáng kể tỷ lệ phát hiện và phản hồi đối với các sự cố an ninh mạng. Một nghiên cứu của Nhóm chiến lược doanh nghiệp (ESG) nhận thấy rằng 68% tổ chức sử dụng BAS và SOAR cùng nhau có thời gian ứng phó sự cố được cải thiện. Gartner dự đoán rằng đến năm 2025, các tổ chức sử dụng SOAR và BAS cùng nhau sẽ được giảm 50% trong thời gian cần thiết để phát hiện và ứng phó với sự cố.

Mô phỏng vi phạm và tấn công và quản lý bề mặt tấn công

Mặc dù tích hợp tốt với nhiều loại công cụ bảo mật khác nhau, dữ liệu ngành cho thấy xu hướng ngày càng tăng trong việc tích hợp các công cụ mô phỏng và tấn công vi phạm. quản lý bề mặt tấn công (ASM) công cụ trong tương lai gần. Với tư cách là Giám đốc Nghiên cứu Bảo mật và Tin cậy của Tập đoàn Dữ liệu Quốc tế, Michelle Abraham cho biết: “Việc quản lý bề mặt tấn công cũng như mô phỏng vi phạm và tấn công cho phép những người bảo vệ an ninh chủ động hơn trong việc quản lý rủi ro”.

Trong khi đó, quản lý lỗ hổng và các công cụ quét lỗ hổng bảo mật đánh giá một tổ chức từ bên trong, quản lý bề mặt tấn công là việc phát hiện, phân tích, khắc phục và giám sát liên tục các lỗ hổng an ninh mạng cũng như các vectơ tấn công tiềm ẩn tạo nên mạng lưới của tổ chức. bề mặt tấn công. Tương tự như các công cụ mô phỏng tấn công khác, ASM giả định quan điểm của kẻ tấn công bên ngoài và đánh giá sự hiện diện bên ngoài của tổ chức.

Việc thúc đẩy các xu hướng hướng tới điện toán đám mây, thiết bị IoT và CNTT bóng tối (tức là việc sử dụng không được phép các thiết bị không được bảo mật) đều làm tăng nguy cơ phơi nhiễm mạng tiềm năng của tổ chức. Các giải pháp ASM quét các vectơ tấn công này để tìm các lỗ hổng tiềm ẩn, trong khi các giải pháp BAS kết hợp dữ liệu đó để thực hiện mô phỏng tấn công và kiểm tra bảo mật tốt hơn nhằm xác định tính hiệu quả của các biện pháp kiểm soát bảo mật tại chỗ.

Kết quả tổng thể là sự hiểu biết rõ ràng hơn nhiều về khả năng phòng vệ của tổ chức, từ nhận thức của nhân viên nội bộ đến các mối lo ngại phức tạp về bảo mật đám mây. Khi hiểu biết đã chiếm hơn một nửa trận chiến, thì hiểu biết sâu sắc quan trọng này là vô giá đối với các tổ chức đang tìm cách củng cố an ninh của mình.

Khám phá bộ QRadar của IBM