Ataque de brecha y simulación: una herramienta fundamental para probar la eficacia de los controles de seguridad
Breach attack & simulation (BAS) es una gran adición a las pruebas tradicionales de vulnerabilidad de ciberseguridad. Explore sus beneficios con IDC.
Los desafíos de la defensa contra las violaciones de la seguridad cibernética se han vuelto más complejos a medida que el panorama de amenazas continúa evolucionando, los vectores de amenazas se han expandido y las herramientas y métodos de los atacantes utilizados para lanzar ataques se han vuelto cada vez más sofisticados. Combine el panorama de amenazas en expansión con los desafíos inherentes a la gestión de la seguridad en una arquitectura distribuida híbrida / de múltiples nubes que depende en gran medida de la conectividad confiable y de alta velocidad para personas y cosas, y el desafío de la defensa cibernética es aún más abrumador.
IDC estima que las empresas a nivel mundial gastan más de $ 100 mil millones en productos y servicios de seguridad para ayudar a protegerse contra las amenazas cibernéticas. Demostrar la efectividad del gasto en ciberseguridad es una prioridad para los ejecutivos corporativos y la junta directiva; sin embargo, cuantificar y justificar el nivel apropiado de gasto sigue siendo un desafío para la mayoría de los equipos de seguridad empresarial. Buscar dólares incrementales para continuar construyendo una postura de seguridad sólida es difícil en el contexto de un mayor número de violaciones cibernéticas que han causado un daño financiero y de reputación significativo a empresas de una variedad de industrias.
A medida que las organizaciones buscan formas de demostrar la efectividad de su gasto en seguridad y las políticas y procedimientos implementados para remediar y responder a las amenazas de seguridad, las pruebas de vulnerabilidad pueden ser un componente importante de las actividades de administración de vulnerabilidades de un equipo de seguridad.
Enfoques tradicionales para la gestión de vulnerabilidades
La mayoría de las empresas han adoptado algún tipo de proceso para gestionar las vulnerabilidades en su entorno. Después de realizar una evaluación exhaustiva del riesgo cibernético para comprender mejor dónde existen los riesgos cibernéticos más altos (o más impactantes) para el negocio, se realizan inversiones en controles de seguridad, se desarrollan políticas y procesos para administrar el riesgo. Las pruebas de gestión de vulnerabilidades suelen ser el siguiente paso para validar la eficacia de los controles de seguridad establecidos para gestionar el riesgo cibernético.
Cabe señalar que, si bien la eficacia de la tecnología de seguridad es un enfoque central, un enfoque más amplio de las pruebas que incluye el elemento humano (políticas y procedimientos) proporciona una evaluación más holística y realista de la postura de seguridad de una organización.
Existen varios enfoques de prueba que las organizaciones utilizan como parte de sus prácticas de gestión de vulnerabilidades. Cuatro de los más comunes se enumeran a continuación:
- Prueba de penetración (también conocida como prueba de lápiz): es un enfoque de prueba común utilizado por las empresas para detectar vulnerabilidades en su infraestructura. Una prueba de Pen involucra a expertos en seguridad altamente capacitados que utilizan herramientas y métodos de ataque empleados por atacantes reales para lograr un objetivo de infracción específico predefinido. La prueba de lápiz cubre redes, aplicaciones y dispositivos de punto final.
- Red Teaming – Un rojo realiza del equipo “hacking ético” imitando un actor avanzada de amenazas utilizando métodos de sigilo, subvertir controles defensivos establecidos, y la identificación de lagunas en la estrategia de defensa cibernética de la organización para comprender mejor cómo un detecta organización y responde a los ataques del mundo real. Los resultados de un ejercicio de trabajo en equipo rojo ayudan a identificar las mejoras necesarias en los controles de seguridad.
- Blue Teaming : es un equipo de seguridad interno que defiende tanto de atacantes reales como de la actividad del equipo rojo. Los Blue Teams deben distinguirse de los equipos de seguridad estándar debido a la misión de proporcionar una ciberdefensa constante y continua contra todas las formas de ciberataques.
- Teaming púrpura – el objetivo del equipo morado es alinear las actividades del equipo rojo y azul, y penetraciones de apalancamiento de estas actividades para proporcionar de extremo a extremo y la experiencia APT realista y vulnerabilidades priorizados para la organización.
Si bien las organizaciones suelen utilizar estos enfoques de prueba de vulnerabilidades, existen varios desafíos asociados con ellos. Primero, estos enfoques son muy manuales y requieren muchos recursos, lo que para muchas organizaciones se traduce en un alto costo y una falta de recursos internos capacitados para realizar estas pruebas. Si bien el resultado de estas pruebas de vulnerabilidad proporciona información vital a la organización para actuar, se realizan con poca frecuencia debido en gran parte al costo y la falta de recursos calificados mencionados anteriormente.
Por último, todos estos métodos brindan una vista puntual de la postura de seguridad de una organización, que se está volviendo menos efectiva para las empresas que se mueven hacia una arquitectura de TI basada en la nube más dinámica con una diversidad cada vez mayor de puntos finales y aplicaciones. Como resultado, los enfoques tradicionales de prueba de vulnerabilidades rinden muy poco valor porque el panorama de seguridad y las arquitecturas de TI empresarial son dinámicas y cambian constantemente.
Ingrese a Breach Attack and Simulation (BAS)
Si bien las ofertas de BAS abarcan gran parte de lo que incluyen las pruebas de vulnerabilidad tradicionales, difieren de una manera muy crítica. En un nivel alto, las funciones primarias de BAS son las siguientes:
- Ataque (imita amenazas reales)
- Visualizar (ver exposiciones)
- Priorizar (asignar una clasificación de gravedad o criticidad a las vulnerabilidades explotables)
- Remediar (abordar las lagunas)
En lo que BAS se diferencia de los enfoques tradicionales es en el uso de la automatización de circuito cerrado que permite a los equipos de TI / seguridad evaluar un entorno en busca de indicadores de amenazas y comportamientos de ataque, activos desprotegidos, configuraciones incorrectas, errores humanos, brechas de registros y problemas básicos de higiene de TI. Armado con esta información, el personal de seguridad puede tomar las acciones recomendadas para cerrar brechas, corregir configuraciones incorrectas y fortalecer la gestión de credenciales.
El otro diferenciador clave de BAS está en la variedad de formas en que se puede realizar una prueba de vulnerabilidad. Las opciones de prueba incluyen intervalos bajo demanda, continuos o establecidos. Esto brinda a los equipos de seguridad mucha más flexibilidad en la frecuencia con la que pueden realizar pruebas de vulnerabilidad.
Conclusión
IDC cree que BAS brinda a las empresas un conjunto sólido de características y funcionalidades que no solo ayudan a validar la efectividad de los controles de seguridad implementados, sino que también permiten un enfoque más proactivo de la defensa cibernética mediante el uso de la automatización. Esto se ha convertido en un tema común en los servicios de seguridad, donde el objetivo de volverse ciberresiliente se basa en la capacidad de monitorear continuamente el entorno en busca de amenazas de manera proactiva y acelerar el tiempo para remediar los problemas a fin de minimizar el impacto en el negocio. Posteriormente, creemos que BAS se convertirá en un componente importante de la estrategia de defensa cibernética de una empresa.
Traducción del artículo original de IDC
https://blogs.idc.com/2021/04/29/breach-attack-and-simulation-a-critical-tool-to-test-the-efficacy-of-security-controls/
ABRIL 29 DE 2021