ما هي محاكاة الاختراق والهجوم؟

محاكاة الاختراق والهجوم (BAS) هي نهج آلي ومستمر قائم على البرامج للأمن الهجومي. على غرار أشكال أخرى من التحقق من الأمان مثل الفريق الأحمر واختبار الاختراق، يكمل محاكاة الاختراق والهجوم أدوات الأمان التقليدية من خلال محاكاة الهجمات الإلكترونية لاختبار عناصر التحكم في الأمان وتوفير رؤى قابلة للتنفيذ.

مثل تمرين الفريق الأحمر، تستخدم عمليات محاكاة الاختراق والهجوم تكتيكات وتقنيات وإجراءات الهجوم في العالم الحقيقي (TTPs) التي يستخدمها المتسللون لتحديد نقاط الضعف الأمنية وتخفيفها بشكل استباقي قبل أن تتمكن الجهات الفاعلة في التهديد الفعلي من استغلالها. ومع ذلك، على عكس فريق العمل الأحمر واختبار الاختراق، فإن أدوات محاكاة الاختراق والهجوم مؤتمتة بالكامل ويمكنها توفير نتائج أكثر شمولًا بموارد أقل في الوقت بين اختبارات الأمان الأكثر عملية. يقدم مزودو الخدمات مثل SafeBreach وXM Cyber وCymulate حلولًا تعتمد على السحابة والتي تسمح بالتكامل السهل لأدوات محاكاة الاختراق والهجوم دون الحاجة إلى تنفيذ أي أجهزة جديدة.

وباعتبارها أداة للتحقق من صحة التحكم الأمني، تساعد حلول محاكاة الاختراق والهجوم المؤسسة على اكتساب فهم أفضل للثغرات الأمنية لديها، فضلًا عن توفير إرشادات قيمة للمعالجة حسب الأولوية.

تساعد حلول محاكاة الاختراق والهجوم فرق الأمان على:

• تخفيف المخاطر الإلكترونية المحتملة: توفر تحذيرًا مبكرًا للتهديدات الداخلية أو الخارجية المحتملة، ما يمكّن فرق الأمن من تحديد أولويات جهود الإصلاح قبل مواجهة أي تسرب بيانات حرجة، أو فقدان الوصول، أو نتائج سلبية مماثلة.
• تقليل احتمالية وقوع هجمات إلكترونية ناجحة: في ظل بيئة التهديدات، المتغيرة باستمرار، تعمل الأتمتة على زيادة المرونة من خلال الاختبار المستمر.

تقوم حلول محاكاة الاختراق والهجوم (BAS) بتكرار العديد من الأنواع المختلفة من مسارات الهجوم ومتجهات الهجوم وسيناريوهات الهجوم. استنادًا إلى التكتيكات والتقنيات والإجراءات العملية في العالم الحقيقي التي يستخدمها الجهات الفاعلة في مجال التهديد كما هو موضح في معلومات التهديد الموجودة في إطار عمل MITRE ATT&CK وCyber Killchain، يمكن لحلول BAS محاكاة ما يلي:

• هجمات الشبكات والتسلل
• الحركة الجانبية
• التصيد الاحتيالي
• هجمات نقطة النهاية والبوابات
• هجمات البرامج الضارة
• هجمات برامج الفدية

بغض النظر عن نوع الهجوم، تقوم منصات محاكاة الاختراق والهجوم (BAS) بمحاكاة أحدث تقنيات الهجوم المستخدمة من قبل التهديدات المستمرة المتقدمة (APTs) والكيانات الخبيثة الأخرى على طول مسار الهجوم بأكمله وتقييمها والتحقق من صحتها. بمجرد اكتمال الهجوم، ستقدم منصة BAS بعد ذلك تقريرًا مفصلًا يتضمن قائمة بخطوات المعالجة ذات الأولوية في حال اكتشاف أي ثغرات حساسة.

تبدأ عملية BAS بتحديد سيناريو هجوم معين من لوحة معلومات قابلة للتخصيص. بالإضافة إلى تنفيذ العديد من أنماط الهجوم المعروفة المستمدة من التهديدات الناشئة أو من سيناريوهات مخصصة، يمكنها أيضًا إجراء محاكاة لهجمات بناءً على استراتيجيات مجموعات التهديد المستمرة المتقدمة (APT)، التي قد تختلف أساليبها حسب القطاع الذي تعمل فيه المؤسسة.

بعد بدء سيناريو الهجوم، تنشر أدوات BAS وكلاء افتراضيين داخل شبكة المؤسسة. يحاول هؤلاء الوكلاء اختراق الأنظمة المحمية والتحرك أفقيًا للوصول إلى الأصول الحساسة أو البيانات الحساسة. على عكس اختبار الاختراق التقليدي أو اختبار الفريق الأحمر، يمكن لبرامج BAS استخدام بيانات الاعتماد والمعرفة الداخلية للنظام التي قد لا يمتلكها المهاجمون. بهذه الطريقة، يمكن لبرامج BAS محاكاة الهجمات الخارجية والداخلية في عملية مشابهة للفرق الأرجوانية.

بعد الانتهاء من المحاكاة، تُنشئ منصة BAS تقريرًا شاملًا عن الثغرات الأمنية للتحقق من فعالية مختلف عناصر التحكم الأمنية من جدار الحماية إلى أمن نقطة النهاية، بما في ذلك:

1. عناصر التحكم في أمان الشبكة
2. كشف نقاط النهاية والاستجابة لها (EDR)
3. عناصر التحكم في أمان البريد الإلكتروني
4. تدابير التحكم في الوصول
5. سياسات إدارة الثغرات الأمنية
6. عناصر التحكم في أمن البيانات
7. ضوابط الاستجابة للحوادث

على الرغم من عدم تصميمها لاستبدال بروتوكولات الأمن السيبراني الأخرى، فإن حلول BAS قادرة على تحسين الوضع الأمني للمجموعة بشكل كبير. وفقًا لتقرير بحثي صادر عن شركة Gartner يمكن أن يساعد BAS فرق الأمان في اكتشاف ما يصل إلى 30-50% من الثغرات الأمنية مقارنة بأدوات التقييم الأمني التقليدية. الفوائد الرئيسية لمحاكاة الاختراق والهجوم BAS هي:

1. الأتمتة: مع تزايد التهديد المستمر للهجمات الإلكترونية عامًا بعد عام، تتعرض فرق الأمن لضغوط مستمرة للعمل بمستويات متزايدة من الكفاءة. تتمتع حلول BAS بالقدرة على إجراء اختبارات مستمرة على مدار 24 ساعة في اليوم، 7 أيام في الأسبوع، 365 يومًا في السنة، دون الحاجة إلى أي موظفين إضافيين سواء داخل المؤسسة أو خارجها. يمكن أيضا استخدام BAS لتشغيل الاختبارات عند الطلب، بالإضافة إلى تقديم التعليقات في الوقت الفعلي.
2. الدقة: بالنسبة لأي فريق أمني، لا سيما الفريق ذو الموارد المحدودة، فإن إعداد تقارير دقيقة أمر بالغ الأهمية لتخصيص الموارد بكفاءة - فالوقت الذي يقضيه الفريق في التحقيق في الحوادث الأمنية غير الحساسة أو التي تم تحديدها بشكل خطأ هو وقت ضائع. وفقًا لدراسة أجراها معهد Ponemon، شهدت المؤسسات التي تستخدم أدوات الكشف المتقدمة مثل BAS انخفاضًا بنسبة 37% في التنبيهات الإيجابية الكاذبة.
3. رؤى قابلة للتنفيذ: كأداة للتحقق من صحة التحكم الأمني، يمكن أن تنتج حلول BAS رؤى قابلة للتنفيذ تسلط الضوء على نقاط ضعف محددة وتكوينات خطأ، بالإضافة إلى توصيات التخفيف السياقية المصممة خصيصًا للبنية التحتية الحالية للمؤسسة. وبالإضافة إلى ذلك، يساعد تحديد الأولويات القائم على البيانات فرق مركز العمليات الأمنية (SOC)على معالجة نقاط الضعف الأكثر خطورة أولًا.
4. تحسين الكشف والاستجابة: مبنية على قواعد معرفية للتهديدات المستمرة المتقدمة APT مثل MITRE ATT & CK وCyber Killchain، وكذلك التكامل بشكل جيد مع تقنيات الأمان الأخرى (على سبيل المثال، SIEM وSOAR)، يمكن أن تساهم أدوات BAS في تحسين معدلات الكشف والاستجابة بشكل كبير لحوادث الأمن السيبراني. وقد وجدت دراسة أجرتها Enterprise Strategy Group (ESG) أن 68% من المؤسسات التي تستخدم BAS وSOAR معًا شهدت أوقات استجابة أفضل للحوادث. تتوقع شركة Gartner أنه بحلول عام 2025، ستشهد المجموعة التي تستخدم SOAR وBAS معًا انخفاضًا بنسبة 50% في الوقت الذي يستغرقه اكتشاف الحوادث والاستجابة لها.

على الرغم من التكامل الجيد مع العديد من أنواع أدوات الأمان المختلفة، تشير بيانات الصناعة إلى اتجاه متزايد نحو دمج أدوات محاكاة الاختراق والهجوم وإدارة سطح الهجوم (ASM) في المستقبل القريب. بصفتها مديرة أبحاث الأمن والثقة في مؤسسة البيانات الدولية، قالت ميشيل أبراهام، "تسمح إدارة سطح الهجوم ومحاكاة الاختراق والهجوم للمدافعين عن الأمن بأن يكونوا أكثر استباقية في إدارة المخاطر".

في حين أن أدوات إدارة الثغرات الأمنية ومسح الثغرات الأمنية تعمل على تقييم المؤسسة من الداخل، فإن إدارة سطح الهجوم هي الاكتشاف والتحليل والعلاج والمراقبة المستمرة لثغرات الأمن السيبراني ومتجهات الهجوم المحتملة التي تشكل سطح الهجوم للمؤسسة. على غرار أدوات محاكاة الهجمات الأخرى، تفترض ASM منظور مهاجم خارجي وتقيّم وجود المؤسسة المواجه للخارج.

إن الاتجاهات المتسارعة نحو زيادة الحوسبة السحابية وأجهزة إنترنت الأشياء (IOT) وتقنية المعلومات الظلية (أي الاستخدام غير المصرح به للأجهزة غير الآمنة) كلها تزيد من احتمالية تعرض المؤسسات للخطر الإلكتروني. تقوم حلول ASM بفحص ناقلات الهجوم هذه بحثا عن الثغرات الأمنية المحتملة، بينما تتضمن حلول BAS تلك البيانات لأداء محاكاة الهجوم واختبار الأمان بشكل أفضل لتحديد فعالية عناصر التحكم الأمنية المعمول بها.

والنتيجة الإجمالية هي فهم أوضح بكثير لدفاعات المؤسسة، بدءًا من الوعي الداخلي للموظفين ووصولًا إلى المخاوف الأمنية السحابية المتطورة. عندما تكون المعرفة أكثر من نصف المعركة، فإن هذه الرؤية الحاسمة لا تقدر بثمن بالنسبة للمؤسسات التي تسعى إلى تعزيز أمنها.