Реализация метода Breach and Attack Simulation (BAS) на платформе Cymulate

На правах рекламы

Скачайте детальное сравнение «Продвинутая защита конечных станций» от экспертов «Инфосистемы Джет», чтобы выбрать подходящее решение для защиты вашего бизнеса от киберугроз.

Реализация метода Breach and Attack Simulation (BAS) на платформе Cymulate

Есть много способов убедиться в том, что информационные активы защищены как следует. При этом желательно, чтобы механизмы обеспечения безопасности не пришлось проверять в ходе борьбы с активным злоумышленником, когда организация уже находится под атакой. Новый метод проверки реальной защищенности Breach & Attack Simulation совмещает удобное с полезным; увидеть, как он воплощается на практике, нам поможет анализ сервиса симуляции атак и проникновений Cymulate.

 

 

 

  1. Введение
  2. Отсутствие уязвимостей не означает, что вы в безопасности
  3. BAS — это как пентест, только лучше
  4. Подходы и технологии Cymulate
    1. 4.1. Стадия Kill Chain «До проникновения»
    2. 4.2. Стадии Kill Chain «После проникновения» (Киберустойчивость после проникновения)
    3. 4.3. Стадия Kill Chain «Эксфильтрация»
    4. 4.4. Осведомленность персонала и работа SOC
  5. Выводы

 

Введение

Когда политика безопасности разработана, система аппаратных и программных средств для соблюдения ее требований построена, а персонал обучен, перед руководителем информационной безопасности неизбежно встает вопрос о надежности этой конструкции. Причин множество — начиная с того, что на этапе планирования и внедрения невозможно предусмотреть абсолютно всё, а изменения конфигураций постоянны, и заканчивая тем, что злоумышленники находятся в постоянном поиске новых способов добраться до данных, которые их интересуют. Если потенциальная опасность невелика, то можно, конечно, рассчитывать на волю случая и надеяться, что принятых мер будет достаточно; однако информационные угрозы обычно сопряжены с риском убытков (и порой значительных), поэтому любая организация, работающая с конфиденциальными данными, должна проверять свою систему безопасности.

Все это — естественная составляющая работы по защите информации, поэтому главная проблема заключается не в том, чтобы осознать необходимость тестирования, а в том, какие инструменты для этого выбрать. Существует ряд известных и хорошо зарекомендовавших себя методов, например сканирование на уязвимости или проведение пентестов.  Однако теоретики и практики всегда ищут способы усовершенствования, и сегодня мы поговорим об одной из таких попыток — о методе симуляции проникновений и атак (BAS, Breach & Attack Simulation). В роли практической иллюстрации будет выступать решение Cymulate, которое появилось на российском рынке сравнительно недавно, но обращает на себя внимание стремлением к многосторонней и глубокой проверке.

 

Отсутствие уязвимостей не означает, что вы в безопасности

Обычно тестирование защищенности компьютерных сетей ассоциируется с двумя механизмами: простейшим пентестингом и упражнениями Red Team.

Стандартный пентестинг проводится отдельными специалистами или организациями, которые берут на себя роль взломщиков, пытающихся проникнуть в информационные системы предприятия и ищут способы добраться до ценных сведений. Как правило, в ход идут незакрытые уязвимости разного рода (главным образом ошибки в программном обеспечении) и эксплойты для них — например, недостаточно качественная обработка текстовых полей на веб-сайте организации и, как следствие, доступ к записям базы данных с помощью SQL-инъекций. Не секрет, что один из самых популярных способов доставить вредоносный код по назначению заключается в том, чтобы воспользоваться изъянами в браузере, офисном пакете или другом распространенном программном обеспечении.

Такой поиск путей проникновения показывает, какие уязвимости могут стать отправной точкой для действий злоумышленников, но не дает представлений о том, как будет развиваться атака и насколько успешно система защиты будет ей сопротивляться. Кроме того, он зависит от квалификации конкретного исполнителя и его физических возможностей, особенно если пентест проводится единолично. Человек не способен проверять целое множество разных способов проникновения одновременно, и к тому же он может о чем-то забыть, на что-то не обратить внимания или просто не обладать нужными навыками для эксплуатации той или иной уязвимости.

Зная об этих ограничениях, пентестеры прибегают к средствам автоматизации — сканерам уязвимостей, наборам эксплойтов типа Metasploit и т. п. Это — хорошо отработанные технологии, особенно поиск известных уязвимостей в программном обеспечении, которым уже давно могут воспользоваться даже домашние пользователи: многие производители антивирусов включают такой компонент в состав своих продуктов. Он относительно дешев и быстр, его легко автоматизировать, и с помощью большой обновляемой базы данных сканер способен обнаружить тысячи багов любого возраста, вплоть до наиболее свежих и реально используемых киберпреступниками. В то же время подобное исследование, по сути, охватывает лишь один вектор атак, и к тому же способно выявить только уже известные уязвимости, а в тех случаях, когда оно пытается работать проактивно (например, детектировать небезопасные настройки или системные сервисы), обычно возникает много ложных срабатываний. Таким образом, чем крупнее организация и чем более важные данные она обрабатывает, тем труднее ей полагаться исключительно на такие решения.

Red Team, в свою очередь, является усовершенствованием простого пентестинга, которое преодолевает некоторые из его недостатков за счет более тщательной, глубокой и реалистичной проверки. Специалисты, проводящие такое исследование, воспроизводят весь комплекс действий злоумышленников, направленный на то, чтобы получить доступ к информационной инфраструктуре и закрепиться в ней. Например, отправной точкой такого исследования может быть отправка персоналу организации фишинговых писем, составленных с помощью приемов социальной инженерии. Реакция сотрудников на подобную корреспонденцию (переход по ссылкам, открытие файлов и т. д.) составит основу для дальнейшей активности — точно так же, как и в случае настоящей атаки.

Метод Red Team, таким образом, работает проактивно, позволяя обнаруживать непредвиденные изъяны в неожиданных точках, и в целом более репрезентативен, потому что воспроизводит подлинную манеру действий киберпреступников — а следовательно, дает более точную оценку того, насколько уместны и правильны принимаемые меры по защите информации.

Как обычный пентестинг, так и упражнения Red Team полезны для оценки защищенности информационных систем, однако при их использовании нужно иметь в виду несколько особенностей, обусловленных их сущностью.

  1. В обоих случаях безопасность проверяется людьми вручную, хотя и с использованием программных средств, облегчающих эту задачу.
  2. Каждая проверка дает узкую статичную картину, т. е. показывает лишь возможность обойти защиту в отдельно взятый момент времени на основе одного сценария.
  3. Оба подхода, особенно простой пентест, дают относительно мало возможностей для комплексной оценки эффективности политики безопасности и системы защиты в целом.

 

BAS — это как пентест, только лучше

Примерно так можно вольно интерпретировать главную мысль записи в блоге Gartner, где с необходимыми оговорками утверждается, что обычный пентест будет со временем вытеснен решениями из категории Breach and Attack Simulation. При этом Red Team и BAS не являются в принципе взаимоисключающими, т.се. они не столько конкурируют между собой, сколько дополняют друг друга. Аналитики Gartner считают, что их можно назвать двумя путями движения к одной цели. В то же время BAS имеет особенности, которые позволяют преодолеть некоторые «врожденные недостатки» Red Team.

Итак, BAS — это эволюция пентеста. Здесь по-прежнему воспроизводятся действия злоумышленников, однако человек почти полностью исключается из процесса проверки: будучи запущенным, инструмент тестирования сам проведет атакующие действия по заданному сценарию и будет методично подвергать систему защиты всему спектру векторов и методов взлома до тех пор, пока не найдет лазейку и не добьется нужного результата. При этом, как правило, нет необходимости закупать и развертывать аппаратное и программное обеспечение, учиться пользоваться пакетами эксплойтов и т. п.: BAS-решения обычно существуют в виде SaaS, так что достаточно их арендовать и привести в действие нажатием кнопки.

Помимо большей простоты применения, BAS облегчает регулярное проведение проверок, поскольку не требует нанимать специалистов — нужно лишь запускать самостоятельно работающую задачу по расписанию и изучать результаты. Кстати, создатели таких продуктов часто уделяют особое внимание тому, как формируются отчеты и представляются итоги тестирования — так что можно ясно увидеть, к чему привела каждая попытка проникновения, и сделать выводы относительно того, в каких местах систему защиты следует укрепить.

Таким образом, ключевая идея этого метода — обеспечить последовательную и непрерывную проверку безопасности, симулируя в автоматическом режиме множество различных вариантов атак и позволяя наблюдать за тем, как люди и IT-инфраструктура реагируют на угрозы. BAS может уступать методу Red Team в тонкости и классе нападений, но, с другой стороны, выигрывает у него за счет широты охвата вероятных проблем (включая весьма экзотические), так что эти методы оценки защищенности дополняют друг друга.

 

Подходы и технологии Cymulate

BAS-платформа Cymulate построена с прицелом на то, чтобы оценить корректность функционирования средств защиты информации, действий сотрудников компании и процессов защиты информации. Это позволяет Cymulate давать объективную картину того, насколько организация готова к встрече с киберкриминалом: симуляции проверяют состояние периметровой защиты организации до проникновения, тестируют кибер-устойчивость после проникновения, а также дает возможность изучить осведомленность персонала и отлаженность процессов, в том числе команд SOC и Incident Response. В итоге образуется «оценка на 360 градусов», когда испытанию поддается любой потенциальный вектор атаки. Всего охватываемых векторов восемь, и в совокупности они отражают все активные стадии цепочки атаки Kill Chain.

Стадия Kill Chain «До проникновения»

  • Тест «Актуальные угрозы» имитирует наиболее свежие реальные кибератаки. Аналитики Cymulate следят за активными атаками и разрабатывают соответствующие проверки каждый раз, когда злоумышленники выпускают новые угрозы. Таким образом, пользователь может почти сразу исследовать недавно появившиеся реальные атаки и обеспечить себе защиту заблаговременно, не дожидаясь, пока кто-то попытается по-настоящему обратить актуальную угрозу против него.
  • Email-тест проверяет параметры защиты электронной почты и пытается доставить через нее имитацию вредоносного кода, а затем, в случае успешной доставки, дает рекомендации относительно того, как устранить ошибки конфигурации. Один из самых старых векторов атаки по-прежнему активно эксплуатируется, и несмотря на разнообразные методы защиты вплоть до технологий виртуализации, любопытные сотрудники не перестают переходить по ссылкам или открывать «счета-фактуры» из писем от неизвестных адресатов. Также данный метод позволяет проверить шлюзы безопасности электронной почты (Email Security Gateway) и настройки безопасности почтовых систем.

 

Рисунок 1. Страница из технического отчета Cymulate по проверке электронной почты

Страница из технического отчета Cymulate по проверке электронной почты

 

  • Тест веб-браузеров позволяет узнать, насколько вероятно проникновение вредоносных программ через исходящие HTTP/HTTPS-соединения, проверяя эффективность веб-прокси, NGFW, песочниц и т. п. С течением времени опасные сценарии на веб-страницах не утрачивают популярности, и точно так же, как 10-15 лет назад, вирусную нагрузку можно получить через Flash-содержимое, Java или Silverlight. При этом совершенно не обязательно посещать сомнительные ресурсы — бывает вполне достаточно открыть легитимный сайт с добропорядочной репутацией.
  • Тест брандмауэра веб-приложений (Web Application Firewall, WAF) изучает эффективность защиты веб-приложений и сервисов организации. Веб-приложения популярны и выгодны для бизнеса, в силу чего их активно атакуют злоумышленники и параметры их безопасности также требуют пристального внимания.

Стадии Kill Chain «После проникновения» (Киберустойчивость после проникновения)

  • Тест конечных точек проверяет систему безопасности на рабочих станциях и серверах. Компьютеры сотрудников — одна из приоритетных целей взломщиков, и вполне естественно, что организации возводят на них многослойную оборону. Cymulate воздействует на антивирусы (Endpoint Protection) и EDR-решения, позволяя проверить их работоспособность.
  • Тест внутреннего (латерального) движения имитирует движение злоумышленника по внутренней сети организации. Это критический элемент нацеленных атак, который трудно обнаруживать и отслеживать, особенно если злоумышленники пользуются стандартными инструментами администрирования, которые входят в состав операционных систем. Данный метод позволяет проверить работоспособность решений класса EDR, обманных средств защиты (Endpoint Deception и ханипоты) и поведенческую аналитику (UEBA).

Стадия Kill Chain «Эксфильтрация»

  • Тест утечки данных (DLP) пытается вывести из организации конфиденциальные данные различными методами, в том числе маскируясь под DNS- и ICMP-запросы, письма электронной почты или визиты веб-сайтов, а также пытаясь выложить тестовые конфиденциальные документы в облачные сервисы хранения данных. Данный метод позволяет проверить DLP-решения, используемые на предприятии.

Осведомленность персонала и работа SOC

  • Фишинг-тест подвергает сотрудников проверке на устойчивость к мошенничеству и обману. Имитация кампании по посещению сомнительных веб-сайтов и «выуживанию» чувствительных сведений (например, логинов и паролей) позволяет оценить роль человеческого фактора в вероятном нападении на организацию, а также понять, в какой мере работники нуждаются в повышении осведомленности в вопросах борьбы с угрозами.
  • Тест систем управления инцидентами и событиями безопасности (Security Incident and Event Management, SIEM) и SOC дает возможность увидеть, как службы защиты информации реагируют на происшествия, проверить новых сотрудников, а также отладить внутренние процедуры, которые разработаны в организации для случаев нарушения политики безопасности.

 

Выводы

Система противодействия информационным угрозам начинается с соотношения между затратами на защиту и убытками от компрометации охраняемых сведений и недоступности сервисов. Если организация не нуждается, например, в обработке персональных данных или введении режима коммерческой тайны, то привычный и отработанный метод поиска уязвимостей окажется для нее вполне достаточным — а при условии, что IT-подразделение сможет провести элементарный пентест, беспокоиться придется разве что при крупных изменениях вроде заказа нового веб-сайта фирмы. Однако если ставки высоки, то надежность средств безопасности будет нуждаться в более тщательной проверке, и чем важнее данные предприятия, тем меньше ему следует полагаться на классические сканеры уязвимостей или веб-приложений.

Здесь на помощь приходят методы, которые воспроизводят активность настоящих злоумышленников и дают возможность проверять устойчивость информационных систем в режиме реального времени. Red Team углубляет возможности традиционного пентеста, а BAS автоматизирует его, позволяя держать безопасность под постоянным контролем, отслеживать все ключевые векторы атак одновременно, а также убеждаться в том, что все средства защиты информации настроены и функционируют именно так, как должны. В итоге это дает пользователю более репрезентативные результаты проверок, поскольку чем глубже анализ и чем регулярнее он проводится, тем полнее наши представления о надежности построенной защиты.

Коль скоро симуляции атак и проникновений более показательны и эффективны, кажется вполне логичным, что участники рынка и аналитики видят в них будущее тестирования информационной инфраструктуры. Действительно, удобные и экономичные решения с широким охватом векторов атак, практически полным отсутствием ложных срабатываний и возможностями автоматизации (включая проведение регулярных проверок) будут иметь неплохие шансы потеснить прежние методы — особенно если их разработчикам удастся объединить достоинства Red Teaming и BAS, что, как мы видели на примере платформы Cymulate, вполне достижимо. Тогда организации, пользующиеся их услугами, смогут в любой момент получить ответы на важные вопросы: работает или не работает система защиты, реализующая политику безопасности, и какова реальная эффективность всех тех мер, которые принимаются ради борьбы с киберугрозами.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru