BAS, czyli ataki na własne życzenie
Platformy symulujące naruszenia i ataki wykonują automatyczne testy, które ujawniają luki występujące w firmowych zabezpieczeniach. Czasami mogą być cennym uzupełnieniem dla okresowo przeprowadzanych testów penetracyjnych.
Systemy BAS wpisują się w zapisy dyrektywy NIS 2.
BAS ze znakiem zapytania
Jedną z charakterystycznych cech rynku cyberbezpieczeństwa jest jego rozdrobnienie. Doskonale widać to na przykładzie segmentu BAS, gdzie dominują raczej anonimowi dostawcy – AttackIQ, Cymulate, Picus, SafeBreach, Keysight, NetSPI, a wyjątkiem od reguły jest Fortinet.
– Fakt, iż wiele firm oferujących BAS jest szerzej nieznanych, można tłumaczyć relatywnie młodym rynkiem. Klienci najczęściej polegają na rekomendacjach, recenzjach oraz wynikach testów. My jako integrator, zanim polecimy produkt, dokonujemy jego wnikliwej analizy, za co odpowiedzialni są nasi inżynierowie. Jeśli rozwiązanie jest dobre i obiecujące, klienci to docenią i wystawią pozytywne opinie – mówi Karol Girjat, Business Development Manager w Net Complex.
Platformy BAS nie cieszą się zbyt dużą popularnością w Polsce, a potencjalni użytkownicy postrzegają takie narzędzia jako techniczną nowinkę i nie do końca rozumieją ich funkcjonalność. Dlatego ważna jest edukacja zarówno odbiorców końcowych, jak i integratorów. Robert Dąbrowski, szef zespołu inżynierów w polskim oddziale Fortinetu zauważa, iż jak na razie BAS staje się standardem w centrach SOC czy u dostawców MSSP, a już niedługo do tego grona powinni dołączyć klienci korporacyjni oraz duże organizacje publiczne. Obecnie zlecają one testy wyspecjalizowanym dostawcom, za co trzeba słono zapłacić. Niewykluczone, że do wzrostu zainteresowania platformami do symulacji przyczynią się unijne regulacje, a zwłaszcza NIS 2.
– Systemy BAS wpisują się literalnie w zapisy dyrektywy, chociażby artykuł 21, punkt 2. W idealnym świecie oznaczałoby to, że wiele firm będzie stosowało BAS lub będzie wymagało wykonywania testów dla kupowanych rozwiązań, a także okresowej weryfikacji skuteczności już posiadanych – mówi Artur Madejski.
Pewne wątpliwości co do ewentualnej ekspansji BAS ma Karol Girjat. Jego zdaniem wielu specjalistów ds. cyberbezpieczeństwa nie postrzega tego narzędzia jako niezbędnego składnika w infrastrukturze IT. Ponadto poważne obawy budzą braki kadrowe w kontekście faktu, że do obsługi BAS potrzebni są specjaliści.
Sceptycznie do rozwiązań BAS podchodzi Mateusz Kopacz, CISO poznańskiej Almy. Jego zdaniem świadomi klienci nie są nimi zainteresowani, gdyż są to niekontrolowane próby ataków wykonywane przez automatyczne oprogramowanie, a więc zachodzi ryzyko wykorzystania go na systemach produkcyjnych.
– Rekomenduję raczej zastosowanie rozwiązań typu ASM (Attack Surface Management), aby poznać słabe strony i rozwiązać problemy, czy to przez aktualizację, czy przez poprawę konfiguracji. W przeciwieństwie do BAS, narzędzia ASM nie podejmują w sposób automatyczny prób eksploitacji, co może skończyć się wieloma negatywnymi skutkami – przestrzega Mateusz Kopacz.
Z taką opinią nie zgadza się Piotr Kawa z Bakotechu. Uważa on, że zarzut o niekontrolowane próby ataków jest błędny i krzywdzący. Systemy BAS bazują bowiem na symulacjach rzeczywistych ataków przygotowanych przez odpowiednie zespoły i działają w izolowanym środowisku. Poza tym, systemy te ciągle ewoluują, a oprócz natywnej funkcjonalności symulowania ataków spełniają szereg dodatkowych funkcji, jak symulowanie ścieżek ataków, automatyczne pentesty czy też walidacja powierzchni ataków.
- Testy penetracyjne (pentesty) – Kontrolowane próby włamania do firmowych systemów IT, których celem jest sprawdzenie poziomu ich bezpieczeństwa. Przeprowadzający je specjaliści używają tych samych metod i narzędzi co hakerzy.
- Breach and Attack Simulation (BAS) – Platformy automatyzujące symulowanie zaawansowanych działań napastników w celu ujawnienia luk, które należy naprawić, zanim haker wykorzysta je do wyrządzenia szkód.
- Vulnerability Assessment (VA) – Proces skanowania sieci i systemów IT w poszukiwaniu znanych podatności.
- Vulnerability Management (VM) – Kompleksowe zarządzanie podatnościami, obejmujące między innymi czynności związane z ich usuwaniem i monitorowaniem.
- Attack Surface Management (ASM) – System, procedura lub zestaw narzędzi, które stale wykrywają, monitorują, oceniają, ustalają priorytety i korygują narażenie na ataki w testowanej infrastrukturze IT.
Podobne artykuły
Wierzymy w siłę edukacji
Exclusive Networks od lat różnymi kanałami dociera do partnerów, by edukować kanał na temat najbardziej aktualnych technologii. Poznajcie 4 projekty edukacyjne, tworzone przez ekspertów dystrybutora.
Uroczysta Gala CRN: wiedza, partnerstwo, wiarygodność
Po raz pierwszy w historii wręczyliśmy wybitnym integratorom tytuły CRN IT Master, jak też mieliśmy zaszczyt uhonorować liderów dystrybucji wyróżnieniem Promotor Wiedzy i wręczyć Certyfikaty CRN Channel Master tym producentom, którzy wyjątkowo dobrze dbają o swój ekosystem partnerski.
Cyberbezpieczeństwo: następuje dryf w kierunku usług
Zmagania organizacji z hakerami przypominają walkę z wiatrakami. Jednym ze sposobów na zwiększenie szans w tej nierównej rywalizacji jest sięgnięcie po posiłki z zewnątrz.