Alerta de spoiler: la simulación de ataques no es piratería ética

Todo lo que querías saber sobre Breach and Attack Simulation (BAS) vs. Pruebas de penetración automatizadas

mejores
preparado, ¿verdad? Las empresas están invirtiendo una cantidad significativa de recursos en
construyendo y mejorando su postura de ciberseguridad. Como el panorama de amenazas
continúa evolucionando y expandiéndose, esta inversión continúa aumentando dramáticamente.
Por un reporte por Cybersecurity Ventures, gasto mundial
en productos y servicios de seguridad de la información excederá $ 1 billón entre
2017-2021. Si bien los controles preventivos y de detección son importantes, la validación de
Estos controles son indispensables. Se dice que las pruebas de seguridad son uno de los
áreas que alimentan este rápido crecimiento y el sector en sí mismo podría convertirse en un 4 millones de dólares mercado para 2025.

Cyber necesita pruebas como todo lo demás

Es simple
matemáticas. Cada sistema de seguridad con nobs de configuración tiene una probabilidad de ser humano
error y mala configuración. Cada aplicación o sistema operativo introduce
vulnerabilidades a medida que evoluciona. A medida que las redes de TI crecen y se expanden, la probabilidad
para configuraciones erróneasof
controles y vulnerabilidades aumenta, al igual que su operativa
complejidad.

Aunque los CIO
y los CISO reconocen la necesidad de validación de seguridad, también se les solicita
por los reguladores para realizar escaneos de vulnerabilidad y pruebas de penetración de forma regular
base por terceros independientes.

Una elección entre dos alternativas imperfectas

Vulnerabilidad
Las soluciones de evaluación (VA) y gestión (VM) son soluciones habilitadas por software
que sufren un gran inconveniente en torno a la priorización de lo encontrado
vulnerabilidades Te presentan miles de vulnerabilidades potenciales,
pero en realidad, un gran porcentaje son falsas alarmas. Fuera de esos "reales"
vulnerabilidades, solo el 5 por ciento son explotables. Y de esos, solo unos pocos
puede conducir a un ataque contra activos críticos.

Dicho simplemente,
la única forma de determinar si una vulnerabilidad es crítica es explotando
y demostrando que es parte de una "cadena de matar" completa.

Las pruebas de penetración basadas en el servicio hacen precisamente eso, probando sus defensas mientras correlacionan la clasificación de vulnerabilidades con exploits existentes que carecen de un control de seguridad compensatorio. Algunos probadores de bolígrafos realmente arrojan luz sobre las principales deficiencias que pueden encadenarse a un vector de ataque mortal. Sin embargo, las pruebas de penetración en su estado actual no pueden escalar: es costoso, depende del talento y es limitado en tiempo y alcance. Con estas restricciones, las pruebas de lápiz se realizan típicamente en un pequeño segmento de la infraestructura considerada más crítica para el negocio, dejando invalidada la mayor parte de la superficie de ataque.

El exceso de simulación de violación y ataque (BAS)

La tecnología de simulación de violación y ataque (BAS) llegó a nuestras vidas hace tres años con una gran promesa de validación continua de control de seguridad. Sonaba genial en ese momento, pero los primeros usuarios se encontraron con un sistema que agrega otro agente en la red, limita su alcance a la validación de controles solamente y requiere que se mantengan escenarios específicos de libro de jugadas.

Más
Es importante destacar que los usuarios se encontraron nuevamente en el ámbito de la simulación.

En otras palabras, BAS se trata de recopilar datos de control de seguridad y realizar análisis de modelado de riesgos fuera de línea y luego deducir lo que sucedería en la vida real en lugar de probarlo. Una vez más, los usuarios se enfrentan a falsas alarmas y una priorización errónea, junto con la carga de administrar otro sistema. Incluso los sistemas BAS modernos que envían correos electrónicos de phishing e intentan descargar cargas útiles si se abren dificultades para superar el valor que uno puede obtener de Checkpoint Registrarme Utilidad gratuita.

Si quieres probar, prueba. No simular

La verdadera validación de seguridad se trata realmente de desafiar su seguridad desde un
La perspectiva y las técnicas del hacker hasta el punto final y abarcando todo
Tu red. ¿Qué pasaría si pudiéramos tener una prueba de penetración que se ejecute por completo?
automatizado sin agentes, sin manuales manuales, sin simulaciones y sin falsas
alarmas? ¿Qué pasaría si pudiéramos tener un sistema que actúe como hacker y desafíe
todo: ¿controles de seguridad, vulnerabilidades, credenciales y privilegios?
¿Qué pasaría si el mismo sistema pudiera buscar contraseñas y credenciales compartidas?
carpetas y documentos de oficina?

Lo que somos
realmente buscando son vulnerabilidades
correlacionado con exploits que carecen de un control de compensación. ESTAMOS
tratando de explotar estas debilidades, a escala, sin malicia
intención o daño. Y tenemos que hacerlo con un presupuesto que permita un diario o
Prueba de penetración semanal. Suena como una tarea difícil, ¿verdad?

Pentesting automatizado va el siguiente paso

Aquí está la
vanguardia: tecnología que toma el alto nivel de aprovechar el poder
de software para realizar la tarea de hackers éticos de pruebas de penetración a escala.
Esta tecnología comienza con nada más que acceso a la red y realiza cada
acción que haría un hacker: escaneo, reconocimiento, olfateo, suplantación de identidad,
craqueo, inyección de malware (inofensivo), explotación sin archivos,
post-explotación, movimiento lateral y explotación de privilegios hasta
exfiltración de datos.

Información
las rutinas de los profesionales de seguridad realmente están cambiando a medida que usan esto
tecnología con tanta frecuencia como una prueba de pluma semanal. Reducción de dependencias de terceros
consultores del partido y centrarse en el 1 por ciento de remediación que importa es
llegando a estar al alcance.

Es una cuestión de elección
Es hora de validar el riesgo de ciberseguridad. O se conforma con la gestión de vulnerabilidades, experimenta con BAS o lo intenta con pruebas de penetración automatizadas. Es mejor ser proactivo para mejorar su resistencia cibernética en lugar de ser la práctica objetivo para cualquier nuevo malware que esté disponible. Puede tener herramientas y proveedores de servicios independientes que hagan el trabajo o hágalo usted mismo con una moderna plataforma de prueba de lápiz. El elemento importante es impulsar y poder conversar el riesgo de seguridad en términos comerciales con la alta gerencia, recibir los presupuestos necesarios y conducir la curva de mejora continua hacia la ciberresiliencia.

Amitai Ratzon, director ejecutivo de Pcysys

Temas:

Hackear

Fuente: https://www.scmagazine.com/home/opinion/exeexe-insight/spoiler-alert-attack-simulation-isnt-ethical-hacking/

Inteligencia de datos generativa

Alerta de spoiler: la simulación de ataque no es piratería ética

Temas:

🔴 ETF de Ethereum retrasados | Esta semana en cripto – 11 de marzo de 2024

Los 5 mejores regalos del lenguaje del amor para mamá

Información más reciente

Volando en el Air Koryo de Corea del Norte

Títulos especiales austriacos “Sí a Europa” 2024

Tesla lanza una tasa de préstamo APR del 0.99% por tiempo limitado para pedidos del Model Y de EE. UU.

Ford reduce los pedidos de baterías ya que pierde más de 100,000 dólares por vehículo eléctrico vendido

Lista de observación de prospectos del draft de la NFL 2025: seguridades

El Boeing 777 de KLM realiza un aterrizaje de emergencia en Ankara tras una indicación de incendio en la carga