Simularea unui atac nu este hacking etic

Amitai Ratzon, CEO PCYSYS

Mai bine să fim pregătiți, corect? Companiile investesc resurse importante în construirea și îmbunătățirea securității cibernetice. Pe măsură ce amenințările continuă să evolueze și să se extindă, această investiție continuă să crească dramatic. Conform unui raport realizat de Cybersecurity Ventures, cheltuielile la nivel mondial privind produsele și serviciile de securitate a informațiilor vor depăși 1 trilion de dolari între 2017-2021.

Deși controalele preventive sunt importante, validarea acestora este indispensabilă. Se spune că testarea securității este unul dintre domeniile care alimentează această creștere rapidă, având șanse să devină o piață de 4 miliarde de dolari, până în 2025.

Sectorul cyber are nevoie de testare mai mult decât orice altceva

Este matematică pură. Fiecare sistem de securitate cu un hub de configurări prezintă probabilitatea unei erori umane și de configurare greșită. Fiecare aplicație sau sistem de operare introduce vulnerabilități, pe măsură ce evoluează. Pe măsură ce rețelele IT cresc și se extind, probabilitatea de configurare greșită a controalelor și vulnerabilităților crește și ea, la fel ca și complexitatea operațională a acestora.

Deși CIO și CISO conștientizează nevoia validării securității, li se cere de asemenea de către autoritățile de reglementare să efectueze periodic scanări de vulnerabilitate și teste de penetrare, furnizate de către terți independenți.

O alegere între două alternative imperfecte

Soluțiile de evaluare a vulnerabilității și cele de management sunt soluții software care au un dezavantaj major în ceea ce privește prioritizarea vulnerabilităților găsite. Și anume, acela că vă prezintă mii de potențiale vulnerabilități dar, în realitate, un procent mare sunt doar alarme false. Dintre toate aceste vulnerabilități „reale”, doar 5% sunt exploatabile. Și din cele 5%, doar un mic procent poate duce la un atac asupra activelor critice.

Altfel spus, singurul mod în care se poate stabili dacă o vulnerabilitate este critică este prin exploatarea ei și argumentarea faptului că este parte dintr-un „kill-chain”.

Testarea penetrării bazată pe servicii face fix acest lucru, testându-vă apărarea în timp ce corelează triajul vulnerabilităților cu exploatările existente, fără un control al securității. Unii pentesteri aduc o oarecare clarificare asupra deficiențelor majore care pot fi înlănțuite unui vector de atac mortal. Cu toate acestea, testarea penetrării așa cum se face în prezent nu poate fi realizată la scară largă – este scumpă, depinde de pregătirea celui care testează și este limitată în timp și scop. Cu toate aceste constrângeri, pentestele sunt de obicei efectuate pe un segment mic al infrastructurii critice, lăsând nevalidată cea mai mare parte a suprafeței de atac.

Avântul tehnologiei privind breșa de securitate și simularea atacului (BAS)

Tehnologia de simulare a încălcărilor și atacurilor (BAS) a apărut în urmă cu trei ani, cu o mare promisiune, aceea de validare continuă a controlului de securitate. Suna excelent la vremea respectivă, dar adepții săi s-au trezit cu un sistem care adaugă încă un agent în rețea, își limitează scopul pentru validarea controalelor și necesită menținerea unor scenarii specifice.

Mai mult de atât, utilizatorii s-au trezit tot în era simulării.

Cu alte cuvinte, BAS se referă la colectarea datelor de control al securității și efectuarea analizei de modelare a riscurilor offline, concluzionându-se ulterior ceea ce s-ar întâmpla în viața reală, mai degrabă decât în timpul testării. Încă o dată utilizatorii se confruntă cu alarme false și o prioritizare greșită asociată cu sarcina de a gestiona încă un sistem. Chiar și cele mai moderne sisteme BAS, care trimit e-mailuri de tip phishing și încearcă să descarce sarcini utile, dacă sunt deschise încearcă să depășească valoarea pe care o puteți obține prin folosirea utilitarului gratuit Checkme de la Checkpoint.

Dacă vrei să testezi, testează. NU simula

Validarea reală a securității se referă la provocarea securității din perspectiva și tehnicile unui hacker, până la endpoint și extinderea întregii rețele. Cum ar fi dacă am avea un test de penetrare care rulează complet automatizat fără agenți, fără simulări și fără false alarme? Dacă am avea un sistem care să funcționeze ca un hacker și să conteste totul – controale de securitate, vulnerabilități, credențiale și privilegii? Cum ar fi dacă același sistem ar putea căuta parolele și datele de acreditare în dosarele partajate și documentele office? 

Ceea ce căutăm cu adevărat sunt vulnerabilitățile corelate cu exploatările care nu au un control compensatoriu. Încercăm să exploatăm aceste slăbiciuni, la scară largă, fără rele intenții sau pagube. Și trebuie să o facem la un buget care să permită efectuarea zilnică sau săptămânală a unui test de penetrare. Pare o aspirație înaltă, nu-i așa? 

Pentestarea automată trece la nivelul următor

În asta constă noutatea: tehnologia care valorifică puterea software-ului pentru a efectua sarcina etică a hackerilor de testare a penetrării la scară largă. Această tehnologie începe cu accesul la rețea și efectuează toate acțiunile pe care le-ar face un hacker – scanarea, recunoașterea, descoperirea, fisurarea, injecția de malware (inofensivă), exploatarea fără fișiere, post-exploatare, mișcarea laterală și exploatarea privilegiilor până la exfiltrarea datelor.

Rutina profesioniștilor în ceea ce privește securitatea informației se schimbă efectiv pe măsură ce folosesc această tehnologie, cu aceeași frecvență ca pentest-ul săptămânal. Diminuarea implicării terților și a gradului de dependență de aceștia precum și concentrarea asupra 1% din remedierea care contează au devenit tangibile.

Este doar o chestiune de alegeri

Este timpul pentru validarea riscului de securitate cibernetică. Fie se soluționează cu managementul vulnerabilității și se experimentează cu BAS, fie prin teste de penetrare automate. Este de preferat să fim proactivi în ceea ce privește îmbunătățirea rezistenței cibernetice, decât să devenim o țintă accesibilă pentru orice malware nou. Puteți avea instrumente separate și furnizori care să realizeze acest lucru sau puteți realiza chiar voi folosind o platformă modernă de pentestare. Important este să propulsați și să puteți converti riscul de securitate în termeni de afaceri pentru management, să primiți bugetele necesare și să parcurgeți curba de îmbunătățire continuă spre rezistență cibernetică.