突破和攻击模拟将杀死Pentest

2020-11-25 22:57:52

近年来,市场上出现了越来越多的所谓的Breach和Attack Simulation平台提供商。 2017年,Gartner将突破和攻击模拟列为“面向威胁技术的炒作周期”中的新类别,甚至有证据表明,突破和攻击模拟有潜力在未来10年内成为主流。一些人甚至谈到技术革命,它将从根本上改变公司将来分析其安全状态的方式。

在这篇博客文章中,我想回答关于破坏和攻击模拟的以下问题:

违反和攻击模拟是一种测试IT安全性的新方法,它可以模拟现实世界中的攻击行为,以确定公司的各种安全措施是否真正达到了目的。有三种不同类型的BAS解决方案:

基于代理的解决方案是BAS的最简单形式。代理跨LAN部署,并识别漏洞以确定哪些路由可供潜在攻击者在网络中移动。基于代理的BAS解决方案与漏洞扫描非常相似,但是提供了更多的上下文。

这些BAS解决方案在专用虚拟机之间的网络内生成侵入性流量,这些虚拟机用作各种攻击场景的目标。然后创建概述,以了解公司自己的安全控件未检测到并阻止哪些事件。与基于代理的BAS解决方案一样,您可以获得有关攻击者进入网络后如何移动的信息。

基于云的BAS解决方案最接近真实的攻击。它们通过不同的入口点从外部模拟多种攻击方案。 (所谓的多媒介攻击),也就是公司的网络范围。云平台收到了来自各种来源的最新威胁,因此始终是最新的。作为SaaS解决方案,可以非常快速地实施它们。

BAS解决方案为公司提供了以下问题的答案:“我们的网络安全计划真的有效吗?大型公司在安全产品上进行了大量投资,但仍然没有信心可以承受日益复杂的攻击。出于财务和实际原因,也不可能永久性地手动测试整个企业生产环境的安全漏洞。突破和攻击模拟恰好填补了这一空白,并允许企业以低风险进行连续测试,从而从现有安全解决方案中获得更多收益。

如果您对BAS市场有一个了解,您会发现许多产品都是针对具有较高安全性要求的大型企业客户量身定制的,例如金融机构和保险公司。毫不奇怪,突破和攻击模拟对于这类公司特别有趣。他们通常会使用大量安全产品,动态的IT环境和高度的IT成熟度。此外,对IT安全性和合规压力也有很高的要求。诸如Breach和Attack Simulation之类的高端解决方案就是为此环境而设计的。

但是,较小的公司也有可能使用BAS技术。一些解决方案提供商已为其多租户准备了BAS工具,以便较小的公司也可以通过合作伙伴公司从中受益。

市场上有哪些产品,它们之间有何不同?在仍然非常年轻的BAS市场上,主要来自以色列和美国的许多公司和初创企业正在蓬勃发展。在下文中,我想介绍一些选定的解决方案提供商:

SafeBreach于2014年在特拉维夫成立,因此是市场上“较老”的参与者之一。 SafeBreach将其产品描述为持续安全验证平台,该平台接管了虚拟道德黑客的角色。该平台由两个组件组成:云管理控制台和称为“突破模拟器”的内部虚拟机,它们彼此之间玩所谓的“战争游戏”。实际上,SafeBreach的解决方案基于在Breach模拟器自身与云之间流动的“恶意”流量。

SafeBreach是BAS行业的先驱,现在拥有涵盖数千种攻击方法的广泛的《 Hacker's Playbook》,由SafeBreach实验室不断对其进行更新。

Cymulate也在2016年在以色列成立。2018年,Cymulate被Gartner评为“酷供应商”,并且可能是BAS市场中获得最大宣传的平台。 Cymulate取得的成功包括从著名的风险投资家那里筹集了大量资金。 Cymulate做广告具有特别容易的部署和操作。网络本身仅需要一个代理。该平台提供了多种攻击媒介(电子邮件网关,Web网关,Web应用程序防火墙,横向移动,数据丢失防护和端点安全控制),因此可以模拟高级持久威胁(APT)。与其他安全产品的集成非常好,例如漏洞管理,SIEM和EDR解决方案。 Cymulate非常昂贵。目前,通过AWS Marketplace,7-Vector捆绑包每月收费7000美元。但是,还有一种轻量级版本,可用的攻击媒介更少。在Youtube上,您可以对平台有良好的印象:

在我看来,XM Cyber​​是BAS市场上的另一个著名参与者。自2016年由以色列网络情报界的高层领导人成立以来,该公司已受到关注,并正在全球范围内扩展。 HaXM平台相对容易推出。必须在所有关键资产上安装轻量级的软件代理,并且平台本身作为“软件即服务”提供。对于非常注重安全性的公司,也可以在内部设置解决方案。仿真分三个步骤执行:

其次,模拟攻击并揭示对关键资产的所有攻击媒介(在平台的“战场”对话框中非常清楚地做到了这一点)

XM Cyber​​的3分钟演示使该平台印象非常深刻,并显示了令人印象深刻的用户界面。

有趣的问题仍然是,突破口和攻击模拟能否在将来取代传统的网络渗透测试。当前,突破和攻击模拟的市场采用还不是很普遍。作为渗透测试人员,我相信您很快就不必担心自己的工作。此外,合规性要求仍然要求进行经典的渗透测试。最后但并非最不重要的一点是,“突破和攻击模拟”也是您预算的问题–许多中小型公司已经在努力进行小型渗透测试,因此,这些公司是否会投资于昂贵的BAS解决方案值得怀疑。

市场上的某些BAS工具仅提供不包含漏洞利用的攻击方案,因此在有疑问时应进行手动渗透测试作为补充。不应忘记,模拟仍然是模拟,并且对收集的数据进行了外部分析以确定实际情况。这增加了误报和误报的可能性。

尽管BAS解决方案提供商仍需克服许多障碍,但我非常有信心,随着Breach和Attack Simulation的成熟,它将大大减少对传统网络渗透测试的需求。使用好的BAS解决方案,可以“执行”不会造成任何损害的漏洞利用。尽职尽责的pentester甚至不会使用典型的渗透测试工具来解决此类漏洞,因为始终存在损害客户环境的危险。此外,无论个人能力如何,突破和攻击模拟都能提供一致的结果,而不仅仅是快照。我非常有信心,很快将有由Breach和Attack Simulation提供支持的“渗透式即服务”产品,将适用于各种规模的组织。

值得关注BAS市场的发展。将来,BAS解决方案的重要性很可能会大大提高。我认为,随着技术成熟度的提高和成本的降低,突破和攻击模拟有可能成为经典网络渗透测试的可行替代方案。

下次我评论时,请在此浏览器中保存我的姓名,电子邮件和网站。