Niejeden koncern przekonał się, że inwestycja w systemy chroniące środowiska IT to dopiero początek walki z hakerami, zaś napastnicy już nieraz udowodnili, że potrafią sforsować przyzwoite zabezpieczenia. Media przynajmniej kilka razy w miesiącu informują o spektakularnych atakach i wyciekach danych w bankach, telekomach czy placówkach ochrony zdrowia. Przyczyny takiego stanu są bardzo różne – począwszy od ludzkiej naiwności, poprzez błędne ustawienia konfiguracyjne, po brak odpowiednich procedur dotyczących testowania aktualizacji.

Część firm, aby uniknąć przykrych niespodzianek, przeprowadza testy penetracyjne, których celem jest identyfikowanie luk w zabezpieczeniach. Ten rodzaj audytu koncentruje się na kontroli pojedynczego systemu, a nie ogólnej ocenie bezpieczeństwa przedsiębiorstwa. Inni idą krok dalej i korzystają z działających w sposób ciągły i zautomatyzowany platform symulujących realistyczne scenariusze naruszeń i ataków, w terminologii anglojęzycznej określanych jako BAS (Breach and Attack Simulation). Narzędzia te są kontrolowane przez centralny interfejs, za pomocą którego można symulować ataki, a następnie śledzić wyniki podjętych działań. BAS ma na celu zbadanie nie tylko poziomu ochrony, ale także sposobu w jaki firmowi informatycy wykrywają konkretny rodzaj ataku i reagują na niego.

Platformy symulacji i naruszeń powinny być stosowane w firmach o wysokim poziomie dojrzałości cyberbezpieczeństwa. BAS wymaga, aby dysponowały personelem dysponującym umiejętnościami pozwalającymi na skuteczne zarządzanie i analizowanie wyników generowanych przez zautomatyzowane narzędzie, jak też posiadały systemy wykrywania incydentów i reagowania na nie.

– W kontekście takich rozwiązań jak SIEM czy EDR, systemy BAS to rozwiązania niszowe. Pozwalają sobie na nie jedynie usługodawcy oraz duże podmioty, w których cyberochrona znajduje się na wysokim poziomie. Narzędzia BAS potrafią być na tyle zautomatyzowane, że poza konfiguracją i uruchomieniem testów, największym wyzwaniem w ich przypadku jest interpretacja raportów i odpowiednie utwardzanie środowiska – tłumaczy Artur Madejski, Product Manager w Exclusive Networks.

Kiedy warto zastosować BAS?  

Platformy symulacji naruszeń i ataków stosuje się w kilku przypadkach. Jednym z nich jest weryfikowanie zabezpieczeń systemów IT (np. ich konfiguracji) po przeprowadzonych aktualizacjach oprogramowania. Inną kwestią związaną z uaktualnianiem aplikacji jest priorytetyzacja tego procesu. Większość firm bazuje na znanym i sprawdzonym standardzie branżowym CVSS (Common Vulnerability Scoring System), który ocenia luki w kontekście zagrożenia, jakie one ze sobą niosą i ułatwia podjęcie decyzji o aktualizacji. Jednak eksperci zaznaczają, iż ta metoda czasami zawodzi, bowiem zdarza się, że luka z niską oceną CVSS może być furtką dla napastnika. Natomiast za pomocą BAS można zweryfikować czy aktualizacje lub inne zmiany w systemie nie wpłynęły negatywnie na ogólny poziom ochrony. Przy tego rodzaju zastosowaniach alternatywą dla BAS mogą być systemy Vulnerability Assessment (VA).

Skanery VA przeszukują sprzęt w poszukiwaniu niezałatanych aplikacji, niezabezpieczonych konfiguracji bądź przestarzałych komponentów. Wynikiem tych działań jest lista podatności w zabezpieczeniach. Z kolei BAS symuluje ataki, aby sprawdzić czy występujące luki mogą być wykorzystane przez hakera, a następnie określa czy zastosowane środki są skuteczne oraz określa priorytety naprawcze – wyjaśnia Piotr Kawa, dyrektor ds. rozwoju w Bakotechu.

Platformy do symulacji wykorzystywane są również przy wyznaczaniu wskaźników bezpieczeństwa określających średni czas potrzebny na wykrycie incydentu oraz podjęcie reakcji. Częste i regularne testy umożliwiają specjalistom dostrajanie narzędzi do monitorowania i wykrywania ataków. Innym zastosowaniem jest emulacja ataku, pokazująca jego rozwój – od dostarczenia złośliwego ładunku, poprzez instalację, sterowanie i kontrolę, aż po skutki. To pomaga lepiej przygotować się na odparcie prawdziwego ataku.

BAS przydaje się również do edukowania pracowników. Jak wiadomo, wiele naruszeń zaczyna się od błędu ludzkiego, a nieprzestrzeganie rygorystycznych procedur bezpieczeństwa przez personel jest sporą bolączką zarówno wśród małych firm, jak i wielkich korporacji. Użytkownicy bezwiednie pomagają hakerom, klikając złośliwe linki lub załączniki, więc ćwiczenia BAS mogą być dobrym sposobem, aby sprawdzić, jak reagują pracownicy na ataki phishingowe.