Интеграция BAS с другими инструментами как способ увеличить эффективность SOC

Интеграция BAS с другими инструментами как способ увеличить эффективность SOC

Breach and Attack Simulation (BAS) — относительно новый, динамично развивающийся класс ИБ-продукты. Способны ли они повысить эффективность работы SIEM, SOAR, GRC и других инструментов SOC и какие ещё выгоды от такой интеграции получит инфраструктура безопасности организации?

 

 

 

 

 

 

  1. Введение
  2. Функциональные возможности BAS-систем
  3. Интеграция BAS и SIEM
  4. Интеграция BAS и SOAR
  5. Интеграция BAS и GRC
  6. Выводы 

Введение

В арсенале современного центра мониторинга и реагирования на события по информационной безопасности (SOC) могут находиться десятки инструментов. Каждая компания, создавая свою ИБ-инфраструктуру, подбирает продукты, максимально сокращающие фронт возможной атаки и минимизирующие потенциальный ущерб от неё. Однако, несмотря на столь богатый выбор средств защиты, киберпреступники регулярно находят бреши в контурах безопасности предприятий.

Одна из причин такого положения дел — «посмертный» характер действий большинства ИБ-систем. Чаще всего они фиксируют факт уже свершившейся кибератаки, в лучшем случае — информируют специалистов о проникновении в режиме реального времени. Лишь некоторые разработки способны работать на упреждение, выявляя «узкие места» системы безопасности и предупреждая о ещё не начавшейся атаке.

Среди них — системы класса Breach and Attack Simulation, предназначенные для имитации целенаправленных атак на компьютерную инфраструктуру организации. Во многом они выросли из решений для поиска известных уязвимостей, однако обладают гораздо более широкими функциональными возможностями. По сути это — автоматизированные системы тестирования на проникновение (penetration testing) с возможностью выполнения многоэтапных сценариев, имитирующих действия реальных злоумышленников.

BAS — это своего рода краш-тест системы безопасности, возможность оценить надежность её элементов и сделать соответствующие шаги по их улучшению. Но такие продукты не существуют в вакууме: работа BAS неизбежно затрагивает другие элементы системы информационной безопасности. SIEM, SOAR, EPP и другие продукты могут реагировать (или не реагировать) на имитацию кибератаки, и это — лишь минимальный уровень их сопряжения с BAS. В идеальном варианте данные тестового нападения должны быть использованы для улучшения работы ИБ-инструментов, доработки их сценариев и обогащения базы индикаторов.

Очевидно, что интеграция BAS с другими системами, используемыми в SOC, позволит значительно повысить эффективность работы центра. Непрерывная имитация кибератак даёт операторам SOC возможность регулярно оценивать эффективность своих средств контроля безопасности и улучшать их работу при помощи точных, измеряемых показателей, получаемых в режиме реального времени.

Функциональные возможности BAS-систем

Gartner определяет BAS-системы как инструменты, которые позволяют организации постоянно и последовательно моделировать полный цикл атак (включая внутренние угрозы, горизонтальное перемещение и кражу информации) на корпоративную инфраструктуру с использованием программных агентов, виртуальных машин и других средств.

Большинство представленных на рынке продуктов класса Breach and Attack Simulation обладают следующими функциональными возможностями:

  • Имитация направленных атак при помощи предопределённых шаблонов, созданных на основе реальных сценариев проникновения.
  • Возможность имитации действий киберпреступников по взлому внешнего контура безопасности, а также атаки внутри сетевого окружения компании.
  • Моделирование атак со стороны сотрудников организации, в том числе обладающих расширенными правами.
  • Регулярное (а при необходимости — и непрерывное) тестирование безопасности организации в разрезе подразделений и функциональных единиц.
  • Формирование отчётности по результатам проверки для ИБ-специалистов компании.
  • Оценка общего уровня безопасности организации на основании собственных методик или при помощи отраслевых регламентов, таких как MITRE ATT&CK Framework, CSVSS v3.0 Calculator, NIST Risk Management Framework, Microsoft DREAD.
  • Составление списка рекомендаций и конкретных мер по повышению уровня безопасности компании, предотвращению атак и утечек информации.

Рынок BAS-систем всё ещё находится на стадии формирования. Gartner впервые упомянул об этом классе продуктов лишь в 2017 году, а большинство разработчиков представляют собой стартапы, которые, впрочем, успешно привлекают финансирование под свои проекты. Среди ключевых игроков этого сегмента можно выделить израильскую компанию Cymulate, о BAS-решении которой мы уже писали. Сильные продукты также имеют следующие вендоры:

  • Picus — Picus Cyber Defence Validation Platform.
  • Randori — Randori Recon и Randori Attack.
  • XM Cyber — XM Cyber Platform.
  • SafeBreach — SafeBreach Breach & Attack Simulation Platform.

Информацию о большинстве BAS-систем, представленных на рынке, можно найти в кратком обзоре, опубликованном на нашем сайте.

Интеграция BAS и SIEM

Интеграция BAS-систем с SIEM-системами позволяет оценить эффективность работы последних и показывает, насколько успешно они способны распознавать информацию о потенциальных киберинцидентах. Для SIEM имитация атаки не должна отличаться от реального проникновения, а значит, информация о ней должна быть зарегистрирована и обработана системой. Анализ совместной работы BAS и SIEM позволяет специалистам по информационной безопасности:

  • выяснить, насколько хорошо SIEM-система интегрирована с другими элементами контура безопасности,
  • определить «узкие места» — сегменты инфраструктуры, где есть проблемы с передачей данных о возможных инцидентах,
  • уточнить сценарии работы SIEM при помощи индикаторов (хеш-суммы, имена доменов, адреса и т. п.), используемых во время имитации атаки,
  • понять эффективность работы и взаимодействия с SIEM средств превентивной безопасности — EPP, почтовых шлюзов, межсетевых экранов и систем предотвращения вторжений (IPS),
  • оценить работу систем, использующих поведенческий анализ — UEBA, EDR, «ханипотов» и других средств, поставляющих информацию в SIEM.

По сути, тестовая атака, проведённая средствами BAS-системы, должна дать операторам SOC полную информацию о том, как SIEM будет реагировать на реальные действия киберпреступников. Сценарии работы лучших BAS-решений регулярно обновляются и включают в себя свежие шаблоны, используемые злоумышленниками. Чем более комплексную атаку способна имитировать BAS, чем больше векторов она включает, тем больше информации для настройки SIEM получат специалисты.

Интеграция с одним или несколькими SIEM-продуктами является очевидным путём развития BAS-систем, способом их продвижения на рынке. Процесс уже идёт: так, в конце сентября 2020 года американский вендор AttackIQ анонсировал возможности интеграции с LogRhythm NextGen SIEM Platform.

Интеграция BAS и SOAR

Так же, как и в случае с SIEM, BAS-система способна повысить эффективность работы продуктов класса SOAR. BAS может регулярно поставлять специалистам SOC данные, необходимые для корректировки алгоритмов SOAR. Интеграция таких систем обеспечивает:

  • уточнение плейбуков, отвечающих за ответные действия при возникновении ИБ-инцидентов,
  • оценку эффективности процессов мониторинга и реагирования,
  • понимание того, насколько хорошо действуют меры контроля после нарушения,
  • расстановку приоритетов действий SOAR по снижению ущерба от атаки при помощи оценочных показателей, полученных из BAS.

SIEM и SOAR — это сердце SOC, поэтому постоянная проверка эффективности работы этих систем жизненно важна для обеспечения информационной безопасности предприятия. Технологии Breach and Attack Simulation позволяют эффективно измерять чувствительность используемых инструментов, проверяя, насколько чётко те способны выявлять актуальные угрозы и реагировать на них, и в итоге уменьшать фронт атаки.

При этом важно, чтобы BAS была интегрирована в существующие ИБ-процессы не изменяя их. Другими словами, работа SOAR должна не подстраиваться под имитацию атак, а воспринимать их как реальную попытку проникновения, требующую оперативной реакции. В идеале интеграция с рабочими инструментами SOC должна быть выполнена на уровне API: это позволит SOAR напрямую получать индикаторы компрометации, хеши и другие данные, обрабатывая их в собственной рабочей среде.

Интеграция BAS и GRC

Системы управления рисками и соответствием требованиям (GRC), как правило, используются крупными компаниями и государственными учреждениями, чья деятельность подпадает под действие множества регламентирующих актов. Интеграция таких систем с BAS в первую очередь затрагивает их ИТ-составляющую (IT GRC), на которую возложены задачи по мониторингу и сбору показателей работы компьютерной инфраструктуры компании.

Средства имитации атак и утечек способны предоставить GRC дополнительную информацию, которая может быть использована для более точной оценки рисков и совершенствования регламента бизнес-процессов компании. Так, по результатам тестовых атак ИБ-специалисты способны предотвратить потенциально неблагоприятные воздействия, связанные с обновлением ПО, подключением новых устройств и изменениями конфигурации существующих конечных точек.

Немаловажно, что постоянная деятельность BAS предоставляет специалистам необходимые сведения об изменении уровня информационной безопасности компании. Динамика этого показателя в разрезе функциональных единиц или элементов инфраструктуры напрямую связана с конкретными рисками, а значит, влияет на их вероятность их возникновения.

Кроме того, BAS-системы регулярно контролируют безопасность межсетевых экранов, почтовых шлюзов и конечных точек, то есть тех элементов, от которых напрямую зависит работа цепочки поставок и базовых бизнес-процессов компании. Готовность (или неготовность) этих объектов к киберугрозам напрямую связана с «зоной ответственности» GRC-систем.

Выводы

Совместная работа BAS-систем и других средств информационной безопасности способна вывести работу SOC на новый уровень. Интеграция позволяет лучше оценить эффективность процессов мониторинга и реагирования, узнать, ясны ли операторам SOC и рядовому персоналу предупреждения, генерируемые SIEM, определить, какие сценарии работы SOAR следует улучшить, и понять, готова ли система безопасности организации к текущему уровню кибератак.

Интеграция BAS с SIEM, SOAR, GRC и другими средствами предоставляет операторам SOC ряд реальных и ощутимых преимуществ. Вот некоторые из них:

  • Подробная информация о техниках кибератак и их воздействиях на инфраструктуру конкретного предприятия, доступная для изучения в спокойном режиме.
  • Возможность регулярно проводить «учения» центра мониторинга и реагирования, отрабатывая совместные действия в критических ситуациях.
  • Комплексный подход путём тестирования множества векторов атаки, включая вредоносные действия сотрудников организации.
  • Непрерывность процесса тестирования и применение актуальных сценариев имитации атаки, позволяющие проводить точную настройку систем реагирования на угрозы.
  • Оценка эффективности работы SOC, возможность установления плановых показателей его работы и контроль их выполнения.
Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru