¿Qué es la simulación de filtraciones y ataques?

La simulación de filtraciones y ataques (BAS) es un enfoque automatizado y continuo basado en software para la seguridad ofensiva. Al igual que otras formas de validación de seguridad, como el equipo rojo y las pruebas de penetración, BAS complementa las herramientas de seguridad más tradicionales simulando ataques cibernéticos para probar los controles de seguridad y proporcionar insights aplicables en la práctica.

Al igual que un ejercicio de equipo rojo, las simulaciones de filtración y ataque utilizan las tácticas, técnicas y procedimientos de ataque (TTP) del mundo real empleados por los hackers para identificar y mitigar de forma proactiva las vulnerabilidades de seguridad antes de que los actores de amenazas reales puedan explotarlas. Sin embargo, a diferencia del equipo rojo y las pruebas de penetración, las herramientas BAS están totalmente automatizadas y pueden proporcionar resultados más completos con menos recursos en el tiempo entre otras pruebas de seguridad prácticas. Proveedores como SafeBreach, XM Cyber y Cymulate ofrecen soluciones basadas en la nube que permiten la fácil integración de herramientas BAS sin implementar ningún hardware nuevo.

Como herramienta de validación del control de seguridad, las soluciones BAS ayudan a las organizaciones a comprender mejor sus brechas de seguridad, así como a proporcionar una valiosa orientación para la corrección priorizada.

La simulación de filtraciones y ataques ayuda a los equipos de seguridad con:

• Mitigar el posible riesgo cibernético: proporciona una alerta oportuna sobre posibles amenazas internas o externas, lo que permite a los equipos de seguridad priorizar los esfuerzos de corrección antes de experimentar cualquier exfiltración de datos críticos, pérdida de acceso o resultados adversos similares.
• Minimizar la probabilidad de ciberataques exitosos: en un escenario de amenazas en constante cambio, la automatización aumenta la resiliencia a través de pruebas continuas.

Las soluciones BAS replican muchos tipos diferentes de rutas de ataque, vectores de ataque y escenarios de ataque. Con base en los TTP del mundo real utilizados por los actores de amenazas, como se describe en la inteligencia de amenazas que se encuentra en los marcos MITRE ATT&CK y Cyber Killchain, las soluciones BAS pueden simular:

• Ataques de red e infiltración
• Movimiento lateral
• Phishing
• Ataques a endpoint y puertas de enlace
• Ataques de malware
• Ataques de ransomware

Independientemente del tipo de ataque, las plataformas BAS simulan, evalúan y validan las técnicas de ataque más actuales utilizadas por las amenazas persistentes avanzadas (APT) y otras entidades maliciosas a lo largo de toda la ruta del ataque. Una vez que se completa un ataque, una plataforma BAS proporcionará un informe detallado que incluye una lista priorizada de pasos de corrección en caso de que se descubran vulnerabilidades críticas.

El proceso de BAS comienza con la selección de un escenario de ataque específico desde un panel personalizable. Además de ejecutar muchos tipos de patrones de ataque conocidos derivados de amenazas emergentes o situaciones personalizadas, también pueden realizar simulaciones de ataque basadas en las estrategias de grupos APT conocidos, cuyos métodos pueden variar según la industria determinada de una organización.

Después de que se inicia un escenario de ataque, las herramientas BAS despliegan agentes virtuales dentro de la red de una organización. Estos agentes intentan violar los sistemas protegidos y moverse lateralmente para acceder a activos críticos o datos confidenciales. A diferencia de las pruebas de penetración tradicionales o el equipo rojo, los programas BAS pueden usar credenciales y conocimientos internos del sistema que los atacantes quizá no tengan. De esta manera, el software BAS puede simular ataques tanto externos como ataques de usuarios internos en un proceso similar al trabajo en equipo púrpura.

Después de completar una simulación, la plataforma BAS genera un informe integral de vulnerabilidades que valida la eficacia de varios controles de seguridad, desde cortafuegos hasta seguridad endpoint, que incluyen:

1. Controles de seguridad de red
2. Detección y respuesta de endpoint (EDR)
3. Controles de seguridad del correo electrónico
4. Medidas de control de acceso
5. Directivas de gestión de vulnerabilidades
6. Controles de seguridad de datos
7. Controlesde respuesta a incidentes

Si bien no pretenden reemplazar otros protocolos de ciberseguridad, las soluciones BAS pueden mejorar significativamente la postura de seguridad de una organización. Según un informe de investigación de Gartner, BAS puede ayudar a los equipos de seguridad a descubrir hasta un 30 a 50 % más de vulnerabilidades que las herramientas tradicionales de evaluación de vulnerabilidades. Los principales beneficios de la simulación de filtraciones y ataques son:

1. Automatización: a medida que la amenaza persistente de los ciberataques crece año tras año, los equipos de seguridad están bajo presión constante para operar con mayores niveles de eficiencia. Las soluciones BAS tienen la capacidad de ejecutar pruebas continuas las 24 horas del día, los 7 días de la semana, los 365 días del año, sin necesidad de personal adicional, ya sea on premises o no. BAS también se puede utilizar para ejecutar pruebas bajo demanda, así como para proporcionar retroalimentación en tiempo real.
2. Precisión: en cualquier equipo de seguridad, especialmente aquellos con recursos limitados, los informes precisos son cruciales para una asignación eficiente de los recursos; el tiempo dedicado a investigar incidentes de seguridad no críticos o identificados falsamente es una pérdida de tiempo. Según un estudio del Ponemon Institute, las organizaciones que utilizan herramientas avanzadas de detección de amenazas, como BAS, experimentaron una reducción del 37 % en las alertas de falsos positivos.
3. Insights aplicables en la práctica: como herramienta de validación del control de seguridad, las soluciones BAS pueden producir insights valiosos que destacan vulnerabilidades y configuraciones incorrectas específicas, así como recomendaciones de mitigación contextuales adaptadas a la infraestructura existente de una organización. Además, la priorización basada en datos ayuda a los equipos del SOC a dar dirección a sus vulnerabilidades críticas primero.
4. Detección y respuesta mejoradas: basadas en bases de conocimiento de APT como MITRE ATT&CK y Cyber Killchain, y también integrándose bien con otras tecnologías de seguridad (por ejemplo, SIEM, SOAR), las herramientas BAS pueden contribuir a mejorar significativamente las tasas de detección y respuesta para incidentes de ciberseguridad. Un estudio realizado por el Grupo de Estrategia Empresarial (ESG) encontró que el 68 % de las organizaciones que utilizan BAS y SOAR juntas experimentaron mejores tiempos de respuesta a incidentes. Gartner predice que, para 2025, las organizaciones que utilicen SOAR y BAS juntas experimentarán una reducción del 50 % en el tiempo que tardan en detectar y responder a incidentes.

Si bien se integra bien con muchos tipos diferentes de herramientas de seguridad, los datos de la industria indican una tendencia creciente hacia la integración de herramientas de simulación de violaciones y ataques y gestión de superficie de ataque (ASM) en un futuro próximo. Como directora de investigación de seguridad y confianza de International Data Corporation, Michelle Abraham seña: "La gestión de la superficie de ataque y la simulación de violaciones y ataques permiten a los defensores de la seguridad ser más proactivos en la gestión del riesgo".

Mientras que las herramientas de gestión de vulnerabilidades y escaneo de vulnerabilidades evalúan una organización desde dentro, la gestión de la superficie de ataque es el descubrimiento, el análisis, la corrección y el monitoreo continuos de las vulnerabilidades de ciberseguridad y los posibles vectores de ataque que conforman la superficie de ataque de una organización. Al igual que otras herramientas de simulación de ataques, ASM asume la perspectiva de un atacante externo y evalúa la presencia externa de una organización.

La aceleración de las tendencias hacia una mayor computación en la nube, dispositivos de IoT y TI en la sombra (es decir, el uso no autorizado de dispositivos no seguros) aumenta la posible exposición cibernética de una organización. Las soluciones ASM escanean estos vectores de ataque en busca de posibles vulnerabilidades, mientras que las soluciones BAS incorporan esos datos para realizar mejor las simulaciones de ataques y las pruebas de seguridad para determinar la eficacia de los controles de seguridad establecidos.

El resultado general es una comprensión mucho más clara de las defensas de una organización, desde la concientización interna de los empleados hasta las sofisticadas preocupaciones de seguridad en la nube. Cuando saber es más de la mitad de la batalla, este insight crítico es invaluable para las organizaciones que buscan fortalecer su seguridad.