BAS ze znakiem zapytania

Jedną z charakterystycznych cech rynku cyberbezpieczeństwa jest jego rozdrobnienie. Doskonale widać to na przykładzie segmentu BAS, gdzie dominują raczej anonimowi dostawcy – AttackIQ, Cymulate, Picus, SafeBreach, Keysight, NetSPI, a wyjątkiem od reguły jest Fortinet.

– Fakt, iż wiele firm oferujących BAS jest szerzej nieznanych, można tłumaczyć relatywnie młodym rynkiem. Klienci najczęściej polegają na rekomendacjach, recenzjach oraz wynikach testów. My jako integrator, zanim polecimy produkt, dokonujemy jego wnikliwej analizy, za co odpowiedzialni są nasi inżynierowie. Jeśli rozwiązanie jest dobre i obiecujące, klienci to docenią i wystawią pozytywne opinie – mówi Karol Girjat, Business Development Manager w Net Complex.

Platformy BAS nie cieszą się zbyt dużą popularnością w Polsce, a potencjalni użytkownicy postrzegają takie narzędzia jako techniczną nowinkę i nie do końca rozumieją ich funkcjonalność. Dlatego ważna jest edukacja zarówno odbiorców końcowych, jak i integratorów. Robert Dąbrowski, szef zespołu inżynierów w polskim oddziale Fortinetu zauważa, iż jak na razie BAS staje się standardem w centrach SOC czy u dostawców MSSP, a już niedługo do tego grona powinni dołączyć klienci korporacyjni oraz duże organizacje publiczne. Obecnie zlecają one testy wyspecjalizowanym dostawcom, za co trzeba słono zapłacić. Niewykluczone, że do wzrostu zainteresowania platformami do symulacji przyczynią się unijne regulacje, a zwłaszcza NIS 2.

– Systemy BAS wpisują się literalnie w zapisy dyrektywy, chociażby artykuł 21, punkt 2. W idealnym świecie oznaczałoby to, że wiele firm będzie stosowało BAS lub będzie wymagało wykonywania testów dla kupowanych rozwiązań, a także okresowej weryfikacji skuteczności już posiadanych – mówi Artur Madejski.

Pewne wątpliwości co do ewentualnej ekspansji BAS ma Karol Girjat. Jego zdaniem wielu specjalistów ds. cyberbezpieczeństwa nie postrzega tego narzędzia jako niezbędnego składnika w infrastrukturze IT. Ponadto poważne obawy budzą braki kadrowe w kontekście faktu, że do obsługi BAS potrzebni są specjaliści.

Sceptycznie do rozwiązań BAS podchodzi Mateusz Kopacz, CISO poznańskiej Almy. Jego zdaniem świadomi klienci nie są nimi zainteresowani, gdyż są to niekontrolowane próby ataków wykonywane przez automatyczne oprogramowanie, a więc zachodzi ryzyko wykorzystania go na systemach produkcyjnych.

– Rekomenduję raczej zastosowanie rozwiązań typu ASM (Attack Surface Management), aby poznać słabe strony i rozwiązać problemy, czy to przez aktualizację, czy przez poprawę konfiguracji. W przeciwieństwie do BAS, narzędzia ASM nie podejmują w sposób automatyczny prób eksploitacji, co może skończyć się wieloma negatywnymi skutkami – przestrzega Mateusz Kopacz.

Z taką opinią nie zgadza się Piotr Kawa z Bakotechu. Uważa on, że zarzut o niekontrolowane próby ataków jest błędny i krzywdzący. Systemy BAS bazują bowiem na symulacjach rzeczywistych ataków przygotowanych przez odpowiednie zespoły i działają w izolowanym środowisku. Poza tym, systemy te ciągle ewoluują, a oprócz natywnej funkcjonalności symulowania ataków spełniają szereg dodatkowych funkcji, jak symulowanie ścieżek ataków, automatyczne pentesty czy też walidacja powierzchni ataków.

Metody i narzędzia symulowania ataków  
  • Testy penetracyjne (pentesty) – Kontrolowane próby włamania do firmowych systemów IT, których celem jest sprawdzenie poziomu ich bezpieczeństwa. Przeprowadzający je specjaliści używają tych samych metod i narzędzi co hakerzy.
  • Breach and Attack Simulation (BAS) – Platformy automatyzujące symulowanie zaawansowanych działań napastników w celu ujawnienia luk, które należy naprawić, zanim haker wykorzysta je do wyrządzenia szkód.
  • Vulnerability Assessment (VA) – Proces skanowania sieci i systemów IT w poszukiwaniu znanych podatności.
  • Vulnerability Management (VM) – Kompleksowe zarządzanie podatnościami, obejmujące między innymi czynności związane z ich usuwaniem i monitorowaniem.
  • Attack Surface Management (ASM) – System, procedura lub zestaw narzędzi, które stale wykrywają, monitorują, oceniają, ustalają priorytety i korygują narażenie na ataki w testowanej infrastrukturze IT.