La simulación de infracciones y ataques (BAS) es un enfoque automatizado y continuo basado en software para la seguridad ofensiva. Similar a otras formas de validación de seguridad como equipo rojo y pruebas de penetración, BAS complementa las herramientas de seguridad más tradicionales simulando ciberataques para probar los controles de seguridad y proporcionar información procesable.
Como un ejercicio de equipo rojo, las simulaciones de infracciones y ataques utilizan tácticas, técnicas y procedimientos de ataque (TTP) del mundo real empleados por los piratas informáticos para identificar y mitigar proactivamente las vulnerabilidades de seguridad antes de que puedan ser explotadas por actores de amenazas reales. Sin embargo, a diferencia de los equipos rojos y las pruebas de penetración, las herramientas BAS están completamente automatizadas y pueden proporcionar resultados más completos con menos recursos en el tiempo entre pruebas de seguridad más prácticas. Proveedores como SafeBreach, XM Cyber y Cymulate ofrecen soluciones basadas en la nube que permiten la fácil integración de herramientas BAS sin implementar ningún hardware nuevo.
Como herramienta de validación del control de seguridad, las soluciones BAS ayudan a las organizaciones a comprender mejor sus brechas de seguridad, además de brindar orientación valiosa para la remediación priorizada.
La simulación de infracciones y ataques ayuda a los equipos de seguridad a:
- Mitigar el riesgo cibernético potencial: Proporciona una alerta temprana sobre posibles amenazas internas o externas, lo que permite a los equipos de seguridad priorizar los esfuerzos de remediación antes de experimentar cualquier filtración de datos críticos, pérdida de acceso o resultados adversos similares.
- Minimizar la probabilidad de ciberataques exitosos: En un entorno en constante cambio panorama de amenazas, la automatización aumenta la resiliencia a través de pruebas continuas.
¿Cómo funciona la simulación de infracciones y ataques?
Las soluciones BAS replican muchos tipos diferentes de rutas de ataque, vectores de ataque y escenarios de ataque. Basado en los TTP del mundo real utilizados por los actores de amenazas, como se describe en la inteligencia de amenazas que se encuentra en el MITRE ATT & CK y Cyber Killchain, las soluciones BAS pueden simular:
- Ataques de red e infiltración
- Movimiento lateral
- Phishing
- Ataques a terminales y puertas de enlace
- Ataques de malware
- Ransomware ataques
Independientemente del tipo de ataque, las plataformas BAS simulan, evalúan y validan las técnicas de ataque más actuales utilizadas por amenazas persistentes avanzadas (APT) y otras entidades maliciosas a lo largo de toda la ruta de ataque. Una vez que se completa un ataque, una plataforma BAS proporcionará un informe detallado que incluye una lista priorizada de pasos de remediación en caso de que se descubra alguna vulnerabilidad crítica.
El proceso BAS comienza con la selección de un escenario de ataque específico desde un panel personalizable. Además de ejecutar muchos tipos de patrones de ataque conocidos derivados de amenazas emergentes o situaciones definidas de forma personalizada, también pueden realizar simulaciones de ataques basadas en las estrategias de grupos APT conocidos, cuyos métodos pueden variar según la industria determinada de una organización.
Después de que se inicia un escenario de ataque, las herramientas BAS implementan agentes virtuales dentro de la red de una organización. Estos agentes intentan violar los sistemas protegidos y moverse lateralmente para acceder a activos críticos o datos confidenciales. A diferencia de las pruebas de penetración tradicionales o los equipos rojos, los programas BAS pueden utilizar credenciales y conocimientos internos del sistema que los atacantes tal vez no tengan. De esta manera, el software BAS puede simular tanto a agentes externos como ataques internos en un proceso similar al del equipo morado.
Después de completar una simulación, la plataforma BAS genera un informe de vulnerabilidad completo que valida la eficacia de varios controles de seguridad, desde firewalls hasta seguridad de endpoints, que incluyen:
- Controles de seguridad de la red
- Detección y respuesta de punto final (EDR)
- Controles de seguridad del correo electrónico
- Medidas de control de acceso
- Políticas de gestión de vulnerabilidades
- Controles de seguridad de datos
- Respuesta al incidente controles
¿Cuáles son los beneficios de la simulación de infracciones y ataques?
Si bien no pretende reemplazar otros la seguridad cibernética protocolos, las soluciones BAS pueden mejorar significativamente la postura de seguridad de una organización. De acuerdo a un Informe de investigación de Gartner, BAS puede ayudar a los equipos de seguridad a descubrir hasta un 30-50 % más de vulnerabilidades en comparación con las herramientas tradicionales de evaluación de vulnerabilidades. Los principales beneficios de la simulación de infracciones y ataques son:
- Automatización : A medida que la amenaza persistente de los ciberataques crece año tras año, los equipos de seguridad están bajo una presión constante para operar con mayores niveles de eficiencia. Las soluciones BAS tienen la capacidad de ejecutar pruebas continuas las 24 horas del día, los 7 días de la semana, los 365 días del año, sin necesidad de personal adicional, ya sea en las instalaciones o fuera de ellas. BAS también se puede utilizar para ejecutar pruebas bajo demanda, así como para proporcionar comentarios en tiempo real.
- Exactitud: Para cualquier equipo de seguridad, especialmente aquellos con recursos limitados, los informes precisos son cruciales para una asignación eficiente de recursos: el tiempo dedicado a investigar incidentes de seguridad no críticos o identificados falsamente es una pérdida de tiempo. De acuerdo a un estudio del Instituto Ponemon, las organizaciones que utilizan herramientas avanzadas de detección de amenazas como BAS experimentaron una reducción del 37 % en alertas de falsos positivos.
- Información útil: Como herramienta de validación del control de seguridad, las soluciones BAS pueden producir información valiosa que destaca vulnerabilidades y configuraciones erróneas específicas, así como recomendaciones de mitigación contextuales adaptadas a la infraestructura existente de una organización. Además, la priorización basada en datos ayuda a los equipos SOC a abordar primero sus vulnerabilidades más críticas.
- Detección y respuesta mejoradas: Construido sobre bases de conocimiento de APT como MITRE ATT&CK y Cyber Killchain, y también se integra bien con otras tecnologías de seguridad (p. ej., SIEM, SOAR), las herramientas BAS pueden contribuir a mejorar significativamente las tasas de detección y respuesta de incidentes de ciberseguridad. Un estudio del Enterprise Strategy Group (ESG) descubrió que el 68% de las organizaciones que utilizan BAS y SOAR juntos experimentaron mejores tiempos de respuesta a incidentes. Gartner predice que para 2025, Las organizaciones que utilizan SOAR y BAS juntos experimentarán una reducción del 50 %. en el tiempo necesario para detectar y responder a incidentes.
Simulación de infracciones y ataques y gestión de la superficie de ataque
Si bien se integra bien con muchos tipos diferentes de herramientas de seguridad, los datos de la industria indican una tendencia creciente hacia la integración de simulación de ataques y violaciones y gestión de superficie de ataque (ASM) herramientas en un futuro próximo. Como directora de investigación de seguridad y confianza de International Data Corporation, Michelle Abraham, dijo: "La gestión de la superficie de ataque y la simulación de ataques e infracciones permiten a los defensores de la seguridad ser más proactivos en la gestión de riesgos".
Mientras gestión de vulnerabilidades y las herramientas de escaneo de vulnerabilidades evalúan una organización desde adentro, la gestión de la superficie de ataque es el descubrimiento, análisis, remediación y monitoreo continuo de las vulnerabilidades de ciberseguridad y los posibles vectores de ataque que conforman el sistema de una organización. superficie de ataque. Al igual que otras herramientas de simulación de ataques, ASM asume la perspectiva de un atacante externo y evalúa la presencia exterior de una organización.
Las tendencias aceleradas hacia una mayor computación en la nube, dispositivos IoT y TI en la sombra (es decir, el uso no autorizado de dispositivos no seguros) aumentan la posible exposición cibernética de una organización. Las soluciones ASM escanean estos vectores de ataque en busca de vulnerabilidades potenciales, mientras que las soluciones BAS incorporan esos datos para realizar mejor simulaciones de ataques y pruebas de seguridad para determinar la efectividad de los controles de seguridad implementados.
El resultado general es una comprensión mucho más clara de las defensas de una organización, desde la concienciación interna de los empleados hasta las sofisticadas preocupaciones de seguridad en la nube. Cuando saber es más de la mitad de la batalla, esta información crítica es invaluable para las organizaciones que buscan fortalecer su seguridad.
¿Le resultó útil este artículo?
SíNo
Más de Seguridad
Boletines informativos de IBM
Obtenga nuestros boletines y actualizaciones de temas que brindan el liderazgo intelectual más reciente y conocimientos sobre tendencias emergentes.
Subscribirme Ahora
Más boletines
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.ibm.com/blog/breach-attack-simulation/