BAS, czyli ataki na własne życzenie
Platformy symulujące naruszenia i ataki wykonują automatyczne testy, które ujawniają luki występujące w firmowych zabezpieczeniach. Czasami mogą być cennym uzupełnieniem dla okresowo przeprowadzanych testów penetracyjnych.
Systemy BAS wpisują się w zapisy dyrektywy NIS 2.
Niejeden koncern przekonał się, że inwestycja w systemy chroniące środowiska IT to dopiero początek walki z hakerami, zaś napastnicy już nieraz udowodnili, że potrafią sforsować przyzwoite zabezpieczenia. Media przynajmniej kilka razy w miesiącu informują o spektakularnych atakach i wyciekach danych w bankach, telekomach czy placówkach ochrony zdrowia. Przyczyny takiego stanu są bardzo różne – począwszy od ludzkiej naiwności, poprzez błędne ustawienia konfiguracyjne, po brak odpowiednich procedur dotyczących testowania aktualizacji.
Część firm, aby uniknąć przykrych niespodzianek, przeprowadza testy penetracyjne, których celem jest identyfikowanie luk w zabezpieczeniach. Ten rodzaj audytu koncentruje się na kontroli pojedynczego systemu, a nie ogólnej ocenie bezpieczeństwa przedsiębiorstwa. Inni idą krok dalej i korzystają z działających w sposób ciągły i zautomatyzowany platform symulujących realistyczne scenariusze naruszeń i ataków, w terminologii anglojęzycznej określanych jako BAS (Breach and Attack Simulation). Narzędzia te są kontrolowane przez centralny interfejs, za pomocą którego można symulować ataki, a następnie śledzić wyniki podjętych działań. BAS ma na celu zbadanie nie tylko poziomu ochrony, ale także sposobu w jaki firmowi informatycy wykrywają konkretny rodzaj ataku i reagują na niego.
Platformy symulacji i naruszeń powinny być stosowane w firmach o wysokim poziomie dojrzałości cyberbezpieczeństwa. BAS wymaga, aby dysponowały personelem dysponującym umiejętnościami pozwalającymi na skuteczne zarządzanie i analizowanie wyników generowanych przez zautomatyzowane narzędzie, jak też posiadały systemy wykrywania incydentów i reagowania na nie.
– W kontekście takich rozwiązań jak SIEM czy EDR, systemy BAS to rozwiązania niszowe. Pozwalają sobie na nie jedynie usługodawcy oraz duże podmioty, w których cyberochrona znajduje się na wysokim poziomie. Narzędzia BAS potrafią być na tyle zautomatyzowane, że poza konfiguracją i uruchomieniem testów, największym wyzwaniem w ich przypadku jest interpretacja raportów i odpowiednie utwardzanie środowiska – tłumaczy Artur Madejski, Product Manager w Exclusive Networks.
Kiedy warto zastosować BAS?
Platformy symulacji naruszeń i ataków stosuje się w kilku przypadkach. Jednym z nich jest weryfikowanie zabezpieczeń systemów IT (np. ich konfiguracji) po przeprowadzonych aktualizacjach oprogramowania. Inną kwestią związaną z uaktualnianiem aplikacji jest priorytetyzacja tego procesu. Większość firm bazuje na znanym i sprawdzonym standardzie branżowym CVSS (Common Vulnerability Scoring System), który ocenia luki w kontekście zagrożenia, jakie one ze sobą niosą i ułatwia podjęcie decyzji o aktualizacji. Jednak eksperci zaznaczają, iż ta metoda czasami zawodzi, bowiem zdarza się, że luka z niską oceną CVSS może być furtką dla napastnika. Natomiast za pomocą BAS można zweryfikować czy aktualizacje lub inne zmiany w systemie nie wpłynęły negatywnie na ogólny poziom ochrony. Przy tego rodzaju zastosowaniach alternatywą dla BAS mogą być systemy Vulnerability Assessment (VA).
– Skanery VA przeszukują sprzęt w poszukiwaniu niezałatanych aplikacji, niezabezpieczonych konfiguracji bądź przestarzałych komponentów. Wynikiem tych działań jest lista podatności w zabezpieczeniach. Z kolei BAS symuluje ataki, aby sprawdzić czy występujące luki mogą być wykorzystane przez hakera, a następnie określa czy zastosowane środki są skuteczne oraz określa priorytety naprawcze – wyjaśnia Piotr Kawa, dyrektor ds. rozwoju w Bakotechu.
Platformy do symulacji wykorzystywane są również przy wyznaczaniu wskaźników bezpieczeństwa określających średni czas potrzebny na wykrycie incydentu oraz podjęcie reakcji. Częste i regularne testy umożliwiają specjalistom dostrajanie narzędzi do monitorowania i wykrywania ataków. Innym zastosowaniem jest emulacja ataku, pokazująca jego rozwój – od dostarczenia złośliwego ładunku, poprzez instalację, sterowanie i kontrolę, aż po skutki. To pomaga lepiej przygotować się na odparcie prawdziwego ataku.
BAS przydaje się również do edukowania pracowników. Jak wiadomo, wiele naruszeń zaczyna się od błędu ludzkiego, a nieprzestrzeganie rygorystycznych procedur bezpieczeństwa przez personel jest sporą bolączką zarówno wśród małych firm, jak i wielkich korporacji. Użytkownicy bezwiednie pomagają hakerom, klikając złośliwe linki lub załączniki, więc ćwiczenia BAS mogą być dobrym sposobem, aby sprawdzić, jak reagują pracownicy na ataki phishingowe.
Podobne artykuły
IT i medycyna: duet prawie doskonały
Branża medyczna oraz informatyczna coraz bardziej zbliżają się do siebie. Wyraźne przyspieszenie nastąpiło w okresie lockdownów, który stał się motorem rozwoju cyfrowych strategii zdrowotnych.
Systemy przemysłowe pod ostrzałem
Wśród wielu przedsiębiorców pokutuje przekonanie, że systemy przemysłowe OT nie wymagają ochrony, ponieważ nie przyciągają uwagi hakerów. Tymczasem prawda wygląda zgoła inaczej.
Cyberbezpieczny samorząd: konieczne inwestycje z głową
Skuteczną ochronę sieci, urządzeń końcowych czy danych najczęściej utożsamia się z nowoczesnymi narzędziami IT. Przy czym nawet w przypadku tych najlepszych proces zakupu powinien być poprzedzony sensowną analizą.