Simulação de violação e ataque (BAS) é uma abordagem automatizada e contínua baseada em software para segurança ofensiva. Semelhante a outras formas de validação de segurança, como red teaming e testes de penetração, o BAS complementa ferramentas de segurança mais tradicionais, simulando ataques cibernéticos para testar controles de segurança e fornecer insights acionáveis.
Como um exercício de equipe vermelha, as simulações de violação e ataque usam táticas, técnicas e procedimentos de ataque (TTPs) do mundo real empregados por hackers para identificar e mitigar proativamente vulnerabilidades de segurança antes que possam ser exploradas por agentes de ameaças reais. No entanto, diferentemente do red teaming e do pentest, as ferramentas BAS são totalmente automatizadas e podem fornecer resultados mais abrangentes com menos recursos no intervalo entre testes de segurança mais práticos. Provedores como SafeBreach, XM Cyber e Cymulate oferecem soluções baseadas em nuvem que permitem a fácil integração de ferramentas BAS sem implementar nenhum novo hardware.
Como ferramenta de validação de controle de segurança, as soluções BAS ajudam as organizações a compreender melhor suas lacunas de segurança, além de fornecer orientações valiosas para soluções priorizadas.
A simulação de violação e ataque ajuda as equipes de segurança a:
Mitigar possíveis riscos cibernéticos: Fornece alerta antecipado para possíveis ameaças internas ou externas, capacitando as equipes de segurança a priorizar os esforços de correção antes de enfrentar qualquer exfiltração de dados críticos, perda de acesso ou resultados adversos semelhantes. Minimize a probabilidade de ataques cibernéticos bem-sucedidos: em um cenário de ameaças em constante mudança, a automação aumenta a resiliência por meio de testes contínuos.
Como funciona a simulação de violação e ataque?
As soluções BAS replicam muitos tipos diferentes de caminhos de ataque, vetores de ataque e cenários de ataque. Com base nos TTPs do mundo real usados pelos atores de ameaças, conforme descrito na inteligência de ameaças encontrada nas estruturas MITRE ATT&CK e Cyber Killchain, as soluções BAS podem simular:
Ataques de rede e de infiltração Movimento lateral Phishing Ataques de endpoint e gateway Ataques de malware Ataques de ransomware
Independentemente do tipo de ataque, as plataformas BAS simulam, avaliam e validam as técnicas de ataque mais atuais utilizadas por ameaças persistentes avançadas (APTs) e outras entidades maliciosas ao longo de todo o caminho do ataque. Assim que um ataque for concluído, uma plataforma BAS fornecerá um relatório detalhado incluindo uma lista priorizada de etapas de correção caso alguma vulnerabilidade crítica seja descoberta.
O processo BAS começa com a seleção de um cenário de ataque específico em um painel personalizável. Além de executar muitos tipos de padrões de ataque conhecidos derivados de ameaças emergentes ou situações personalizadas, eles também podem realizar simulações de ataque com base nas estratégias de grupos APT conhecidos, cujos métodos podem variar dependendo do setor de uma organização.
Após o início de um cenário de ataque, as ferramentas BAS implantam agentes virtuais na rede de uma organização. Esses agentes tentam violar sistemas protegidos e mover-se lateralmente para acessar ativos críticos ou dados confidenciais. Ao contrário dos testes de penetração tradicionais ou red teaming, os programas BAS podem usar credenciais e conhecimento interno do sistema que os invasores podem não ter. Dessa forma, o software BAS pode simular ataques externos e internos em um processo semelhante ao agrupamento roxo.
Depois de concluir uma simulação, a plataforma BAS gera um relatório de vulnerabilidade abrangente que valida a eficácia de vários controles de segurança, desde firewalls até segurança de endpoint, incluindo:
Controles de segurança de rede Detecção e resposta de endpoint (EDR) Controles de segurança de e-mail Medidas de controle de acesso Políticas de gerenciamento de vulnerabilidades Controles de segurança de dados Controles de resposta a incidentes
Quais são os benefícios da simulação de violação e ataque?
Embora não tenham a intenção de substituir outros protocolos de segurança cibernética, as soluções BAS podem melhorar significativamente a postura de segurança de uma organização. De acordo com um relatório de pesquisa do Gartner, o BAS pode ajudar as equipes de segurança a descobrir de 30 a 50% mais vulnerabilidades em comparação com ferramentas tradicionais de avaliação de vulnerabilidades. Os principais benefícios da simulação de violação e ataque são:
Automação: À medida que a ameaça persistente de ataques cibernéticos cresce ano após ano, as equipes de segurança estão sob pressão constante para operar com níveis mais elevados de eficiência. As soluções BAS têm a capacidade de executar testes contínuos 24 horas por dia, 7 dias por semana, 365 dias por ano, sem a necessidade de pessoal adicional, seja no local ou fora do local. O BAS também pode ser usado para executar testes sob demanda, bem como fornecer feedback em tempo real. Precisão: para qualquer equipe de segurança, especialmente aquelas com recursos limitados, relatórios precisos são cruciais para uma alocação eficiente de recursos – o tempo gasto na investigação de incidentes de segurança não críticos ou falsamente identificados é uma perda de tempo. De acordo com um estudo do Ponemon Institute, as organizações que utilizam ferramentas avançadas de detecção de ameaças, como o BAS, experimentaram uma redução de 37% nos alertas falsos positivos. Insights acionáveis: como ferramenta de validação de controle de segurança, as soluções BAS podem produzir insights valiosos, destacando vulnerabilidades e configurações incorretas específicas, bem como recomendações contextuais de mitigação adaptadas à infraestrutura existente de uma organização. Além disso, a priorização baseada em dados ajuda as equipes de SOC a resolver primeiro as vulnerabilidades mais críticas. Detecção e resposta melhoradas: Construídas em bases de conhecimento APT como MITRE ATT&CK e Cyber Killchain, e também integrando-se bem com outras tecnologias de segurança (por exemplo, SIEM, SOAR), as ferramentas BAS podem contribuir para taxas de detecção e resposta significativamente melhoradas para incidentes de segurança cibernética. Um estudo realizado pelo Enterprise Strategy Group (ESG) descobriu que 68% das organizações que usam BAS e SOAR juntos obtiveram melhores tempos de resposta a incidentes. O Gartner prevê que até 2025, as organizações que usam SOAR e BAS juntos experimentarão uma redução de 50% no tempo necessário para detectar e responder a incidentes.
Simulação de violação e ataque e gerenciamento de superfície de ataque
Embora se integrem bem com muitos tipos diferentes de ferramentas de segurança, os dados do setor indicam uma tendência crescente de integração de simulação de violação e ataque e ferramentas de gerenciamento de superfície de ataque (ASM) em um futuro próximo. Como Diretora de Pesquisa de Segurança e Confiança da International Data Corporation, Michelle Abraham disse: “O gerenciamento da superfície de ataque e a simulação de violações e ataques permitem que os defensores da segurança sejam mais proativos no gerenciamento de riscos”.
Enquanto as ferramentas de gerenciamento de vulnerabilidades e de verificação de vulnerabilidades avaliam uma organização internamente, o gerenciamento da superfície de ataque é a descoberta, análise, remediação e monitoramento contínuos das vulnerabilidades de segurança cibernética e dos possíveis vetores de ataque que compõem a superfície de ataque de uma organização. Semelhante a outras ferramentas de simulação de ataque, o ASM assume a perspectiva de um invasor externo e avalia a presença externa de uma organização.
A aceleração das tendências para o aumento da computação em nuvem, dos dispositivos IoT e da shadow IT (ou seja, o uso não autorizado de dispositivos não seguros) aumenta a potencial exposição cibernética de uma organização. As soluções ASM verificam esses vetores de ataque em busca de vulnerabilidades potenciais, enquanto as soluções BAS incorporam esses dados para executar melhor simulações de ataque e testes de segurança para determinar a eficácia dos controles de segurança em vigor.
O resultado geral é uma compreensão muito mais clara das defesas de uma organização, desde a conscientização interna dos funcionários até preocupações sofisticadas de segurança na nuvem. Quando conhecer é mais da metade da batalha, esse insight crítico é inestimável para organizações que buscam fortalecer sua segurança.
Explore o conjunto IBM QRadar
Esse artigo foi útil?
SimNão
