Тесты на проникновение (пентесты) и проведение комплексной проверки Red Teaming остаются одними из самых действенных способов реальной оценки защищённости инфраструктуры и эффективности средств защиты, их проведение поддерживается регуляторными требованиями и давно стало де-факто стандартом зрелых компаний. Однако качественные услуги в этой области дороги, а хорошие пентестеры - настоящие единичные таланты. При этом сегодня хакеры активно используют ИИ, и нам стоит перенимать их инструменты и подходы.
Поэтому я верю в перспективность развития систем класса BAS (Breach and Attack Simulation) и APT (Autonomous Penetration Testing), особенно с применением ИИ, как возможность для автоматизации и дополнения ручных тестов на проникновение, а вследствие повышения их доступности. Gartner объединил APT и BAS в Threat Exposure Management (TEM), увязав воедино процессы и решения, которые раньше рассматривал в отдельных классах, но у нас это пока отдельные решения, которые ещё находятся в развитии.
Особенно перспективным считаю именно тот подход автопентеста, в рамках которого система сама пытается действительно эксплуатировать найденные цепочки уязвимостей внутри инфраструктуры, как это сделал бы реальный злоумышленник, а не моделирует условные сценарии или генерирует артефакты атаки. Поэтому далее под терминами «автопентест» и APT я буду подразумевать, прежде всего, реальную автоматизацию эксплуатации цепочек уязвимостей.
Российский рынок пока только формируется — игроков не так много. Из них выглядят именно так, как хотелось бы видеть автопентесты:
- *️⃣APT Bezdna + BAS Felix (CTRLHACK)
- *️⃣APT Dephaze (Positive Technologies)
- *️⃣BAS SimuStrike (Газинформсервис)
- *️⃣ARMUG (Crosstech Solutions Group) - больше продвинутый сканер, но есть заложенный функционал эксплуатации уязвимостей и "дальнейшее продвижение"
- *️⃣Autopentest Platform (Autopentest Lab) - тут, конечно, в наличии только красивый лендинг
Следующие два продукта больше средства автоматизации пентеста, чем автопентест:
- *️⃣OffWare BAS + Nuke «Command and Control Server»
- *️⃣Continuous Advanced Management Penetration Organisation Testing (CAMPOT)
Результаты быстрого пилотирования в своей сети двух из перечисленных решений на мой взгляд привели к примерно одинаковым наблюдениям:
- ➖Системы пока не выявили главного, что мы ожидаем от решений такого класса - построения и эксплуатации цепочек атак и горизонтального передвижения между узлами. При этом мы пробовали давать хост с отключенным антивирусом и доменную учетную запись. Результаты работы на одном хосте были получены, но такие проблемы как наличие уязвимостей или стандартные пароли, можно выявлять и с помощью сканера уязвимостей.
- ➖Действия автопентеста были слишком шумными: на них среагировали все возможные средства защиты - антивирус, NTA, ловушки и т.д. Если одна из целей проведения автопентеста - реальная проверка средств защиты, то нужен тихий режим работы, когда атаки имитируются скрытно, как это делают опытные злоумышленники, а не вызывают срабатывание всех возможных событий.
❗️Несмотря на это, системы автопентеста выглядят интересно и, с учётом развития ИИ, будут становиться не только дополнительным инструментом, но и самостоятельным решением в арсенале ИБ-подразделений, при этом сделав пентесты доступнее для компаний и экономя время пентестеров и Red Team на более сложные векторы атак. Будем пилотировать дальше.
А вы что думаете по поводу востребованности BAS и автопентестов?
#решенияИБ@oscar_cybersec