Тест на проникновение является одним из наиболее распространенных способов оценить надежность систем защиты, продемонстрировать возможные методы проведения атак, выявить существующие проблемы безопасности. Однако пентесты требуют значительной доли участия человека, проводятся с определенной частотой и в сжатые сроки, их результаты отражают статичную картину, зафиксированную на момент проведения. Продукты по моделированию нарушений и атак (Breach and Attack Simulation, BAS) представляют собой новый развивающийся рынок средств, выполняющих автоматическое тестирование безопасности на регулярной основе. Рассмотрим внимательнее этот рынок и его драйверы, ключевые продукты данной области, а также прогнозы.
- Введение
- Рынок BAS
- Возможности BAS и принцип его работы
- Обзор наиболее популярных продуктов
- 4.1. AttackIQ FireDrill
- 4.2. Cronus Cyber Technologies CyBot
- 4.3. Cymulate APT
- 4.4. Guardicore Infection Monkey
- 4.5. SafeBreach Breach & Attack Simulation Platform
- 4.6. XM Cyber HaXM
- 4.7. Picus Breach & Attack Simulation Platform
- 4.8. Threatcare App
- 4.9. Verodin SECURITY INSTRUMENTATION PLATFORM (SIP)
- 4.10. Инструменты с открытым исходным кодом
- Выводы и прогнозы
Введение
Последние оценки TAdviser в очередной раз показали рост рынка информационной безопасности в России примерно на 10% за 2018 г.; мировой рынок ИБ также стремительно растет. Как следствие, бизнес уделяет все больше внимания задачам защиты своих информационных активов, увеличивается бюджетирование кибербезопасности, внедряются новые аппаратные и программные средства. Однако для ИБ-департаментов по-прежнему остаются открытыми вопросы: насколько хорошо защищена наша ИТ-инфраструктура сегодня? Какова вероятность подвергнуться атаке завтра? Что необходимо предпринять для увеличения эффективности мер борьбы с угрозами?
Для ответа на эти вопросы рынок предлагает относительно новый класс ИБ-решений — Breach and Attack Simulation (BAS). Это — продукты, позволяющие имитировать атаки на инфраструктуру по различным векторам, после чего на основе полученных результатов делать выводы об эффективности принятых мер, оценивать риск вторжения и давать рекомендации по сокращению киберрисков. Они способны существенно дополнить ландшафт ИБ-решений компании путем непрерывного анализа механизмов защиты.
Рынок BAS
Термин BAS (Breach and Attack Simulation) впервые начал использоваться в 2017 году, после публикации компанией Gartner цикла зрелости (Hype cycle) различных классов решений в области информационной безопасности.
Рисунок 1. «Цикл хайпа» Gartner для решений по защите информации, 2018
Продукты класса BAS сегодня все еще находятся на стадии «технологического старта» — заре появления технологии. При этом рынок не сформирован окончательно, интерес к решениям нарастает, и ожидается резкое увеличение их популярности.
Среди драйверов рынка BAS можно выделить следующие:
- возрастающие убытки от кибератак приводят к переходу от «бумажной» безопасности к фактической защищенности, к необходимости строить максимально эффективную систему борьбы с угрозами;
- компаниям нужно выполнять существующие регуляторные требования по анализу защищенности;
- широкий выбор решений на рынке ИБ приводит к сложности выбора конкретного продукта и к потребности объективно оценивать то, насколько эффективно работают защитные механизмы;
- ИТ-инфраструктура — живой организм, она регулярно изменяется, при этом ежедневно появляются новые уязвимости и угрозы, что вызывает необходимость постоянного тестирования безопасности;
- услуги по непрерывному тестированию на проникновение или собственную команду Red Team может позволить себе не каждое даже крупное предприятие.
Возможности BAS и принцип его работы
Поскольку рынок BAS является относительно новым, существующие решения значительно отличаются друг от друга функциональными возможностями и используемыми технологиями: разнообразны векторы моделируемых атак и их предопределённые шаблоны, некоторые продукты позволяют оценить уровень риска, предлагают рекомендации по устранению выявленных угроз, учитывают соблюдение нормативных требований (compliance). Большинство решений доступно в виде SaaS, некоторые разворачиваются локально. Часть продуктов нуждается в установке агентов, другие работают без них и т.д. Однако есть схожий спектр функций, который заявляют все вендоры.
Продукты класса BAS позволяют компаниям самостоятельно и непрерывно оценивать свою защищённость, проверять механизмы обеспечения безопасности путем имитации атак по различным векторам. Примерами могут выступить фишинговые рассылки, моделирование случаев утечки конфиденциальной информации из внутренней сети, симуляция сетевых атак, вредоносной активности. Большинство решений согласуется с платформой MITRE ATT&CK для тестирования по типичным сценариям.
Наглядные отчеты по результатам тестов позволяют увидеть текущий уровень информационной безопасности (как правило, по количественной шкале от 0 до 100%), сделать вывод об эффективности работы конкретных средств защиты, принять верное решение о том, какие меры необходимо внедрить в первую очередь.
Обзор наиболее популярных продуктов
AttackIQ FireDrill
Штаб-квартира: Калифорния, США.
Основана: в 2013 г.
FireDrill представляет собой клиент-серверное приложение. Консоль управления может быть развернута как локально, на физическом или виртуальном сервере, так и облачно. Необходима установка агентов. Библиотека содержит более 1200 предопределенных сценариев атак, каждый из которых может быть изменен пользователем.
Ценообразование зависит от количества агентов и начинается с 20 000 долларов.
Рисунок 2. Интерфейс AttackIQ FireDrill
Cronus Cyber Technologies CyBot
Штаб-квартира: Израиль.
Основана: в 2014 г.
CyBot Cronus выявляет уязвимости и приоритезирует их с точки зрения критичности для бизнес-процессов компании, а также строит вероятные сценарии атак с использованием методов машинного обучения, оценивает бизнес-риски. Имеет ядро решения (CyBot Pro) и 2 консоли управления — для MSSP и корпораций.
Ценообразование — по запросу.
Рисунок 3. Карта сети в CyBot Pro
Cymulate APT
Штаб-квартира: Израиль.
Основана: в 2016 г.
Решение типа SaaS, предлагает проверку средств защиты информации, сотрудников и процессов ИБ. Предоставляет возможности тестирования по 8 векторам атак, генерирует отчеты для руководителей и технического персонала, включающие практические рекомендации по устранению обнаруженных проблем. Необходимо установить один агент для выполнения симуляций и просмотра результатов.
Об особенностях реализации метода BAS на платформе Cymulate можно прочитать на нашем сайте.
Ценообразование: от 30 000 до 500 000 долларов в зависимости от размера компании и количества моделируемых векторов атак.
Рисунок 4. Отчеты Cymulate
Guardicore Infection Monkey
https://www.guardicore.com/infectionmonkey/
Штаб-квартира: Калифорния, США.
Основана: в 2013 г.
Infection Monkey — инструмент для моделирования атак с открытым исходным кодом, который оценивает устойчивость частных и общедоступных облаков к нападениям злоумышленников. Позволяет проводить автоматическую симуляцию кражи учетных данных, неправильной конфигурации, компрометации активов и других видов вредоносной активности.
Лицензируется как свободно распространяемое программное обеспечение.
Рисунок 5. Панель визуальной карты атак в Guardicore Infection Monkey
SafeBreach Breach & Attack Simulation Platform
Штаб-квартира: Кремниевая долина, США.
Основана: в 2014 г.
Платформа непрерывной проверки безопасности SafeBreach способна моделировать более 3600 способов атак по всей цепочке – от заражения электронной почты до компрометации конечных точек и всех промежуточных этапов. Включает серверную часть «Orchestrator», разворачиваемую в облаке, и клиентские симуляторы атак «Breach Simulators», которые устанавливаются локально.
Ценообразование зависит от количества развернутых симуляторов: например, для десяти экземпляров цена составляет 50 000 долларов в год.
Рисунок 6. Информационная панель SafeBreach Breach & Attack Simulation Platform
XM Cyber HaXM
Штаб-квартира: Израиль.
Основана: в 2016 г.
HaXM от XM Cyber позволяет имитировать атаки злоумышленников на ресурсы организации и предотвращать последствия в режиме 24×7. HaXM объединяет и автоматизирует действия команд нападающих (Red Team) и защитников (Blue Team), чтобы обеспечить, с одной стороны, полный реалистичный сценарий APT (Advanced Persistent Threat), а с другой — приоритетное восстановление.
Ценообразование — по запросу.
Рисунок 7. Визуализация действий Red Team и Blue Team на сетевых ресурсах компании в XM Cyber HaXM
Picus Breach & Attack Simulation Platform
https://www.picussecurity.com/
Штаб-квартира: Сан-Франциско, США.
Основана: в 2013 г.
Платформа симуляции атак от Picus является одной из первых на рынке технологий BAS. Непрерывно моделирует киберугрозы в режиме реального времени, включает модули для симуляции атак по e-mail, HTTP/HTTPS, вредоносных действий против рабочих станций. Лаборатория Picus непрерывно пополняет собственную базу данных актуальных угроз.
Ценообразование также предоставляется по запросу.
Рисунок 8. Информационная панель Picus Breach & Attack Simulation Platform
Threatcare App
Штаб-квартира: Техас, США.
Основана: в 2014 г.
Threatcare представляет собой клиентское приложение, позволяющее активно сканировать систему и анализировать киберугрозы. Проводит оценку средств защиты, моделирование атак по расписанию и киберучения. С использованием агентов Threatcare позволяет планировать сценарии проведения атак одновременно в нескольких сетях.
Ценообразование: от $33 в месяц за Pro-версию, также имеется бесплатная версия, доступная для скачивания на официальном сайте.
Рисунок 9. Панель сценариев атак Threatcare App
Verodin SECURITY INSTRUMENTATION PLATFORM (SIP)
Штаб-квартира: Вашингтон, США.
Основана: в 2014 г.
Инструментальная платформа безопасности Verodin использует ИТ-среды заказчика для проверки эффективности управления сетью, конечными точками, электронной почтой и облаком. SIP постоянно выполняет тесты и анализирует результаты, чтобы своевременно предупреждать о найденных угрозах. Предоставляет данные, которые показывают, действительно ли средства защиты обеспечивают желаемые результаты.
Ценообразование — по запросу.
Рисунок 10. Панель просмотра действий в Verodin SECURITY INSTRUMENTATION PLATFORM
Инструменты с открытым исходным кодом
Помимо описанных выше продуктов существует немало общедоступных инструментов, которые позволяют реализовать отдельные функции по симуляции атак и нарушений. К ним можно отнести, например, Metta от Uber, Atomic Red Team от Red Canary, Red Team Automation от Endgame и другие. Основным недостатком таких средств является высокий порог входа, поэтому они используются специалистами для решения локальных задач. Кроме того, у этих разработок нет удобного пользовательского интерфейса и системы генерации отчетов.
Выводы и прогнозы
Несмотря на возрастающую популярность решений для автоматической симуляции атак, BAS вряд ли сможет когда-либо полностью заменить классический пентест. Однако продукты данного типа способны существенно изменить рынок практической безопасности, так как предлагают более быстрый и дешевый способ оценки защищенности по сравнению с ручным тестированием на проникновение. По прогнозам CyberDB, мировой рынок средств автоматизации пентеста достигнет 1 миллиарда долларов к 2020 году.
Таким образом, использование BAS-решений для непрерывной оценки безопасности способно значительно повысить уровень фактической защищенности ИТ-инфраструктуры. А в комплексе с периодическим проведением классического пентеста компании смогут получить наиболее полную и объективную картину собственной защищенности и оценить свою готовность к отражению реальных кибератак.