Cos'è la simulazione di violazioni e attacchi?

La simulazione di violazioni e attacchi (BAS) è un approccio automatizzato e continuo basato su software per la sicurezza offensiva. Allo stesso modo di altre forme di convalida della sicurezza come il red teaming e i test di penetrazione, BAS integra gli strumenti di sicurezza più tradizionali simulando gli attacchi informatici, al fine di testare i controlli di sicurezza e fornire insight fruibili.

Come un'esercitazione di red team, le simulazioni di violazioni e attacchi utilizzano le tattiche, le tecniche e le procedure di attacco (TTP) del mondo reale utilizzate dagli hacker per identificare e mitigare in modo proattivo le vulnerabilità della sicurezza prima che possano essere utilizzate dai criminali informatici. Tuttavia, a differenza del red teaming e dei pen test, gli strumenti BAS sono completamente automatizzati e possono fornire risultati più completi, utilizzando meno risorse nel tempo che separa dai test di sicurezza più manuali. Fornitori come SafeBreach, XM Cyber e Cymulate offrono soluzioni basate su cloud che consentono la facile integrazione degli strumenti BAS senza implementare nuovo hardware.

In quanto strumenti di convalida del controllo della sicurezza, le soluzioni BAS aiutano le organizzazioni a comprendere meglio le proprie lacune a livello di sicurezza e forniscono indicazioni preziose per la correzione prioritaria.

La simulazione di violazioni e attacchi aiuta i team addetti alla sicurezza a:

• Mitigare il potenziale rischio informatico: fornisce un allarme tempestivo per possibili minacce interne o esterne, consentendo ai team addetti alla sicurezza di dare priorità agli sforzi di correzione prima di subire esfiltrazione dei dati critici, perdita di accesso o esiti avversi simili.
• Ridurre al minimo la probabilità di successo degli attacchi informatici: in un panorama delle minacce in costante evoluzione, l'automazione aumenta la resilienza attraverso test continui.

Le soluzioni BAS replicano molti tipi diversi di percorsi, vettori e scenari di attacco. Sulla base dei TTP del mondo reale utilizzati dai criminali informatici, come indicato nella threat intelligence contenuta nei framework MITRE ATT & CK e Cyber Killchain, le soluzioni BAS possono simulare:

• Attacchi di rete e di infiltrazione
• Movimento laterale
• Phishing
• Attacchi a endpoint e gateway
• Attacchi malware
• Attacchi ransomware

Indipendentemente dal tipo di attacco, le piattaforme BAS simulano, valutano e convalidano le tecniche di attacco più aggiornate utilizzate dalle minacce persistenti avanzate (APT) e da altre entità dannose lungo l'intero percorso di attacco. Una volta completato un attacco, una piattaforma BAS fornirà quindi un rapporto dettagliato che include un elenco prioritario delle fasi di correzione in caso di scoperta di vulnerabilità critiche.

Il processo BAS inizia con la selezione di uno scenario di attacco specifico da una dashboard personalizzabile. Oltre a eseguire molti tipi di modelli di attacco noti, derivati da minacce emergenti o situazioni definite su misura, possono anche eseguire simulazioni di attacco basate sulle strategie di gruppi APT noti, i cui metodi possono variare a seconda del settore in cui opera un'organizzazione.

Dopo l'avvio di uno scenario di attacco, gli strumenti BAS implementano agenti virtuali all'interno della rete di un'organizzazione. Questi agenti tentano di violare i sistemi protetti e di spostarsi lateralmente per accedere ad asset critici o dati sensibili. A differenza dei tradizionali test di penetrazione o del red teaming, i programmi BAS possono utilizzare credenziali e conoscenze interne di sistema che gli aggressori potrebbero non avere. In questo modo, il software BAS può simulare attacchi esterni e interni in un processo simile al purple teaming.

Dopo avere completato una simulazione, la piattaforma BAS genera un rapporto completo sulle vulnerabilità che convalida l'efficacia di vari controlli di sicurezza, dai firewall alla sicurezza degli endpoint, tra cui:

1. Controlli di sicurezza della rete
2. Rilevamento e risposta degli endpoint (EDR)
3. Controlli di sicurezza delle e-mail
4. Misure di controllo degli accessi
5. Criteri di gestione delle vulnerabilità
6. Controlli di sicurezza dei dati
7. Controlli di risposta agli incidenti

Sebbene non siano destinate a sostituire altri protocolli di cybersecurity, le soluzioni BAS possono migliorare notevolmente il livello di sicurezza di un'organizzazione. Secondo un rapporto di ricerca di Gartner BAS può aiutare i team addetti alla sicurezza a scoprire fino al 30-50% di vulnerabilità in più rispetto ai tradizionali strumenti di valutazione delle vulnerabilità. I principali benefici della simulazione di violazioni e attacchi sono:

1. Automazione: poiché la minaccia persistente degli attacchi informatici cresce di anno in anno, i team addetti alla sicurezza sono costantemente sotto pressione per operare a livelli di efficienza maggiori. Le soluzioni BAS sono in grado di eseguire test continui 24 ore al giorno, 7 giorni su 7, 365 giorni all'anno, senza la necessità di personale aggiuntivo on-premise o offsite. Il BAS può essere utilizzato anche per eseguire test su richiesta e fornire feedback in tempo reale.
2. Precisione: per qualsiasi team addetto alla sicurezza, specialmente quelli con risorse limitate, una reportistica accurata è fondamentale per un'allocazione efficiente delle risorse, poiché il tempo impiegato per indagare sugli incidenti di sicurezza non critici o identificati erroneamente è tempo perso. Secondo uno studio del Ponemon Institute, le organizzazioni che utilizzano strumenti avanzati di rilevamento delle minacce, come BAS, hanno riscontrato una riduzione del 37% degli avvisi falsi positivi.
3. Insight fruibili: in quanto strumento di convalida dei controlli di sicurezza, le soluzioni BAS possono produrre preziosi insight che evidenziano vulnerabilità e configurazioni errate specifiche, nonché raccomandazioni di mitigazione contestuali, su misura per l'infrastruttura esistente di un'organizzazione. Inoltre, la definizione delle priorità basata sui dati aiuta i team SOC ad affrontare prima le vulnerabilità più critiche.
4. Rilevamento e risposta migliorati: gli strumenti BAS, grazie a knowledge base APT come MITRE ATT & CK e Cyber Killchain, si integrano bene anche con altre tecnologie di sicurezza (ad esempio, SIEM e SOAR) e possono contribuire a migliorare significativamente i tassi di rilevamento e risposta agli incidenti di sicurezza informatica. Uno studio dell'Enterprise Strategy Group (ESG) ha rilevato che il 68% delle organizzazioni che utilizzano BAS e SOAR insieme ha registrato un miglioramento dei tempi di risposta agli incidenti. Gartner prevede che entro il 2025 le organizzazioni che utilizzano SOAR e BAS insieme otterranno una riduzione del 50% nel tempo necessario per rilevare e rispondere agli incidenti.

Pur integrandosi bene con molti tipi di strumenti di sicurezza, i dati di settore indicano una tendenza crescente verso l'integrazione degli strumenti di simulazione di violazioni e attacchi e di gestione della superficie di attacco (ASM) nel prossimo futuro. Come ha dichiarato Michelle Abraham, Security and Trust Research Director della International Data Corporation: "La gestione della superficie di attacco e la simulazione delle violazioni e degli attacchi consentono ai difensori della sicurezza di essere più proattivi nella gestione del rischio".

Mentre gli strumenti di scansione e gestione delle vulnerabilità valutano un'organizzazione dall'interno, la gestione della superficie di attacco consiste nella scoperta, analisi, correzione e monitoraggio continui delle vulnerabilità della cybersecurity e dei potenziali vettori di attacco che costituiscono la superficie di attacco di un'organizzazione. Analogamente ad altri strumenti di simulazione degli attacchi, l'ASM assume la prospettiva di un aggressore esterno e valuta la presenza rivolta verso l'esterno di un'organizzazione.

L'accelerazione delle tendenze verso l'aumento del cloud computing, dei dispositivi IoT e dello shadow IT (ovvero l'uso non autorizzato di dispositivi non protetti) aumenta la potenziale esposizione informatica di un'organizzazione. Le soluzioni ASM scansionano questi vettori di attacco alla ricerca di potenziali vulnerabilità, mentre le soluzioni BAS incorporano tali dati per eseguire meglio simulazioni di attacco e test di sicurezza per determinare l'efficacia dei controlli di sicurezza in atto.

Il risultato complessivo è una comprensione molto più chiara delle difese di un'organizzazione, dalla consapevolezza interna dei dipendenti ai sofisticati problemi di sicurezza del cloud. Quando sapere rappresenta più della metà della battaglia, questo insight critico ha un valore inestimabile per le organizzazioni che cercano di rafforzare la propria sicurezza.