写在前面:BAS是目前我比较关注的技术,国内做的公司不多,我也是刚开始了解,后续会持续跟进。本文是厂商和咨询公司合作的一篇市场软文,Frost & Sullivan是很有名的咨询公司,能和它合作,也说明了XM Cyber在这个领域的地位。
XM Cyber是一家以色列的安全公司,没见过产品,看了其网站,做个小小的总结:
1. XM Cyber 攻击路径管理平台
1.1. 从攻击者视角看攻击
理解漏洞、错误配置、用户特权、动作,关联到一起形成攻击路径
从泄漏点,看关键资产的图形攻击路径,确定关键的攻击点
基于持续更新的安全得分,知道受攻击的可能性
2. 入侵和攻击模拟方案
为对付各种网络安全威胁,现有的措施之外,还需要使用bas产品,持续模拟攻击技术,计算所有可能的攻击路径。从攻击为中心的视角来看待风险,基于真正的威胁来排序自己的修复行为。像黑客那样思考和工作,就是最好的防御方式。
XM Cyber以“攻击为中心暴露优先级排序”市场的领导厂商
识别重要资产,知道以哪里为中心
可视化所有攻击路径,并细化报警信息
快速提供修复建议,链接到相关补丁、数据和工具
3. 安全态势可见性方案
根据数字资产的重要性,持续主动识别和修复风险,提高网络安全成熟度。最好的方法就是持续评估和修复,解决前三个问题:
我的重要资产安全吗?
应该把资源放在那里,以减轻风险
如何验证我的安全措施有效
风险评估,修复措施排序,验证
产品优点:风险管理,合规支持,资源管理
4. 云安全态势管理方案
解决云里面错误配置和人工错误导致的泄露问题。
云里面的很多攻击,来自于错误,而不是漏洞。
5. 基于攻击的漏洞管理方案
使用攻击模拟和漏洞扫描,XM Cyber 交付了下一代的漏洞管理。
发现和列出所以ip 设备,即使是隐藏在防火墙后面。
6. MITRE ATT&CK案例
验证模块
客户可以对网络和主机进行按需的攻击测试。
MITRE ATT&CK框架一致性
直接链接相关的MITRE 技术
云工具技术
定期更新框架,包括云攻击技术,是第一家能在混合环境中识别攻击,推荐修复的厂商。
7. XM Cyber for APT Simulation案例
持续攻击模拟,真正的黑客技术,解决IT管理,MITRE ATT&CK知识库,可视化攻击路径分析,修复排序。
8. Bas系统的关键特点
1) 完全自动化APT模拟
2) 实时可视化
3) 灵活的架构
4) 有效的隔离攻击
5) 实施简单,操作容易
6) 比独立的安全控制更有现实意义
FROST & SULLIVAN
Frost & Sullivan,成长伙伴公司,和客户合作,利用远见创新,应对全球挑战和抓住相关的增长机遇,助力或打败今天的市场参与者。50多年来,我们一直为全球1000强、新兴企业、公共部门和投资界制定增长战略。你的组织准备好迎接下一个行业融合浪潮、颠覆性技术、日益紧迫的竞争强度、大趋势,突破最佳实践、不断变化客户动态和新兴经济了吗?
目录
介绍
人工渗透测试限制
远程工作恶化了安全环境
最佳实践:自动化入侵和攻击模拟
XM Cyber: 不会危及网络的自动化BAS
案例研究
问题
方案
结语
介绍
首席信息安全官(CISO)正面临着他们职业中的最大挑战:在组织中打造弹性、固若金汤、用户友好的IT环境。
企业有不断增长的终端(这里的终端包括笔记本电脑、台式机、平板、手机等类似设备,连接到公司的网络上)连接到他们的设备上。Frost & Sullivan估计,2019年,全球有23.2亿终端,对企业来讲,难以计数的终端连接到各自的网络上,扩大了攻击平面;对安全团队,跟踪这些终端是一项巨大的任务。
在动态的IT环境中,频繁地暴露出新的安全漏洞。未打补丁软件、系统错误配置、薄弱的或被泄露的凭证、利用信任关系、糟糕的加密标准或零日漏洞等导致数据泄露。除了常见的已知漏洞,用户环境的持续变化导致错误配置也是许多安全漏洞的根源。
由于新冠疫情,政府要求在家办公,企业也需要保证员工个人设备的安全。虽然自带设备(bring your own device,BYOD)和远程办公不是什么新概念,但现在他们已经变成新常态。如果没有合适的安全系统提供保障,BYOD和远程员工导致的网络风险会有相当程度的提升。
网络攻击者攻击或访问关键业务资产的能力是企业网络安全状况的直接体现。然而,跨多个终端的海量用户活动增加了组织识别问题的挑战,无意中提高了组织允许网络攻击者逃过检测的网络风险。
企业可以通过持续监控和分析网络环境中可能对关键资产实现未授权访问的漏洞,最小化数据泄露的风险。
人工渗透测试的限制
企业正在拥抱数字化转型以获得竞争优势。相应地,IT架构也要不断进化适应新的业务优先级、流程和策略。然而,企业很难实时了解安全控制操作的有效性。
漏洞扫描是判断组织安全态势的过程之一。提供网络漏洞的长清单,有助于减少企业的网络暴露。然而,漏洞扫描工具很少提供攻击或风险情境。导致安全分析人员发现对漏洞排序,采取修复步骤非常具有挑战性。
渗透测试,是另一个广泛采纳的安全测试程序。试着在网络中尽可能地发现和利用漏洞,判断风险和影响水平;整个流程涵盖从特定的集中于应用级别的测试到实现合规目的的常规测试。
渗透测试步骤的有效性,依赖于安全分析人员的专业水平;出于这个原因,企业常常雇用高水平的外部专家,举行一场“夺旗”演习。不幸的是,即使渗透测试外包,内部安全团队很难从事其他安全活动,因为在演习和修复阶段,内部团队成员必须全程陪伴渗透测试人员。大多数组织的安全团队都面临短缺,每个人都承担着多项职责;计划渗透测试演习依赖于内部分析人员的时间安排,最后导致一年一次或两次的演习频率。如果渗透测试演习一年计划两次,常常会是一次是大面积,一次是小范围的。而且人工渗透测试只是提供大型组织IT基础设施在某个时刻的快照;在快速变化的IT环境中,演习无法有效地发现重要漏洞。
由于变量太多,在渗透测试时,为控制成本,企业常常把基础设施按优先级分类。单次渗透测试演习的成本,根据范围不同,常常在1万美元到10万美元之间。
成本之外,渗透测试演习的主要顾虑是可能破坏生产环境。渗透测试天然具有攻击性,因为它采用和真正攻击类似的技术。人工渗透测试演习还有一个破坏系统、导致关键业务产品系统下线、意外暴露敏感信息的名声。
也就是说,当渗透测试出错,就变成了业务破坏者。当脆弱的基础设施被下线,即使几个小时的宕机时间,除了重建受影响的系统费用外,还会导致严重的服务中断和随之的收入减少。
例如,在组织中人工渗透测试时,一次服务中断,导致物流服务中断2.5小时,仅系统本身的损失就达到10万欧元每小时。一些更小的系统也同样收到影响,增加了整体费用。
演习时,渗透测试人员收集许多数据;取决于演习范围,整理、分析和展示数据,需要两到七天才能完成。此外,如前所述,一次渗透测试演习只能覆盖组织IT基础设施的一部分。因此,安全团队只能得到庞大IT基础设施中子系统的片段快照。
快照生成后,每个网络仍然会持续发展,整体的安全态势也是如此。现在,演习中的报告需要花费最多六个月的时间来检查和修复发现的问题。等安全团队完成修复时,整个IT环境已经完全不同了。
远程工作恶化了安全环境
新冠疫情在许多方面都扰乱了这个世界,但对企业的直接影响是远程工作趋势的突然加速。许多企业,从科技巨头到本地零售商店,已经允许、甚至许多情况强制在家办公(work from home,WFH)。仅仅一个财季,企业就开始体验到这种转变带来的安全影响。
在业务运营上的转变,快速暴露了企业安全很深和明显的裂痕。例如,不是所有企业和组织能够由公司提供笔记本电脑,对在家工作人员,实行统一IT管理和安全工具。在许多情况,公司必须依靠个人、未管理的手机、平板、笔记本电脑和桌面电脑,虽然这些终端缺乏企业级防护。随着这种情况发生,一个众所周知的安全问题第一次开始大范围影响业务:大多数家庭网络无法得到充分的保护。
后疫情时代,虽然在家工作的趋势有显而易见的商业收益,但也在误配置和管理安全策略及控制方面,加速产生不可避免的结果。在家工作业务环境,没有合适的措施到位,安全团队无法了解所有的终端,包括服务器的安全状况。对于虚拟的工作环境,企业使用的端点检测和响应(EDR)工具也许无法配置,进一步的降低了组织安全态势中,端点可见性及对情况的洞察力。
后果就是在系统中,未检测的漏洞导致攻击增加,在某些情况,对关键业务资产,提供未授权访问。
最佳实践:自动化入侵和攻击模拟
人工渗透测试演习能造成对业务系统意外的连带破坏,无法发现对关键业务资产所有潜在的漏洞攻击路径,不能够经济地测试大规模、复杂的网络。今天动态的IT和业务环境要求公司安全态势实时可见。而渗透测试只能提供在时间上,某个特定点的安全态势快照,企业发现随着网络变化,很难评估他们的网络风险。常常,安全团队必须等待六个月到一年,才能开始下一个渗透测试演习来发现新的漏洞。
自动化入侵和攻击模拟(BAS)工具经过验证是人工渗透测试演习的有效替代方案。BAS工具通过持续对IT基础设施实行渗透测试帮助企业改善安全状况,好像真正的攻击者,但避免了对关键业务系统连带破坏。
自动化BAS工具帮助企业跟上网络攻击者的入侵方法,持续发展企业网络。这些工具随时监控系统,但不会把系统下线。他们可以识别以前无法发现的漏洞,绘制关键资产的多个攻击路径,不需要中断重要生产环境的连续性。
随着持续扫描,BAS允许首席信息安全官和安全团队实时把握住组织的安全脉搏。一个高级的BAS工具应该总是包括绘制暴露的终端、服务器或系统的功能,让安全团队能够很容易地理解任何终端和业务系统所有漏洞攻击路径。这允许安全团队只要漏洞出现就能够修复,相对于以前,保持一个高水平的安全状况。
除了外部渗透测试人员,人工渗透测试演习也许要求至少两个内部安全分析人员。如果一次渗透测试演习持续5天,首席信息安全官可能需要为三个外部人员和两个内部人员花费5万美元。
相反,BAS工具要求最小的人力参与。一个基于云的代理安装在终端上,发现漏洞,实时地持续向安全团队更新。使用高级BAS方案,仪表盘推荐后续修复动作,可以和安全信息和事件管理(SIEM)或安全编排和响应系统(SOAR)集成到一起。
除了最初的平台投资,首席信息安全官不需要在外部的安全评估上,花费额外的金钱。无论网络的规模和复杂性如何,BAS工具帮助企业扩展他们的安全态势评估。在整个网络基础设施中,能够持续执行安全风险评估。完成和每年需要几百万美元人工渗透测试同样的任务。
下图展示了每年三次人工渗透测试和自动化BAS系统的的成本对比。
变量 | 人工渗透测试 | 自动化BAS |
每年渗透测试 | 3 | 3 |
每次测试端点数量 | 5000 | 5000 |
外部渗透测试人员 | 5 | 0 |
每次测试外部工时 | 800 | 0 |
外部工时报告 | 400 | 0 |
内部安全分析师 | 2 | 1 |
每次测试内部工时 | 160 | 40 |
外部每工时成本 | $234 | $0 |
内部每工时成本 | $48 | $48 |
每端点BAS平均报价 | $0 | $75 |
每年渗透测成本 | $865,440 | $376,920 |
每个端点平均渗透测试成本 | $57.7 | $25.13 |
从对比表中考虑的重要点是:
人工渗透测试可能只发现关键资产的一或两个攻击路径。
自动化BAS一直运行,发现对关键资产的每个漏洞路径。
每增加同样的人工渗透测试,增加$28848成本,平均每个终端的渗透测试成本仍为$57.7。
每增加一次BAS渗透测试,增加$1920成本,平均每个终端成本会下降几美元。例如,10次BAS渗透测试,平均每个终端成本$7.54。
XM Cyber:自动化BAS不会威胁网络生产环境
XM Cyber由三名以色列情报界的高级管理人员创立,拥有一个独特的、基于云的、自动化BAS平台,模仿对终端的网络攻击发现安全漏洞,不会影响安全、准确性或业务连续性。
XM Cyber的BAS平台包括两个引擎:
红队引擎持续模拟复杂网络攻击技术,发现IT基础设施中的弱点。
蓝队引擎分析红队引擎发现的攻击手段,帮助企业排序修复步骤。
针对客户定义的目标资产,红队引擎执行大量的攻击场景,方案在系统上持续运行,给用户提供修复排序报告。
平台有多个预定义攻击场景,如客户数据、网络优势、IT/OT集成、财务服务器保护、勒索软件影响、公司知识产权。仪表盘把网络中每个终端展示为网络地图上的一个图标。
当模拟开始,很快发现一些终端可利用的漏洞;然而,随着模拟的进行,因为使用不同的攻击技术,尝试多种攻击路径,更多有漏洞的终端被发现,并以每个漏洞为支点,使用每条路径,尝试到达定义的关键资产。
XM Cyber平台模拟真实的网络攻击人员,在网络中侦察,最后进入安全区域。在模拟的最后,企业能够查看被入侵的关键资产数量,跟踪每个攻击手段及成功入侵的路径,决定是否部署一个或更多的检查点,以保护安全区域。
在其建议修复动作优先级中,蓝队引擎考虑资产的重要性和影响的严重性。例如,一台被入侵的服务器也许有一个很低的漏洞排名;然而,通过拿到服务器上的授权凭证,攻击者也许能在整个网络中横向移动,到达关键资产。在这种情境下,安全团队能够最大化他们修复措施的效率,对资源受限的组织非常重要。这种整体分析的水平要求从攻击者角度对企业网络的全面了解。XM Cyber,在对客户网络充分理解的助力下,能提供可操作的、具体修复建议,快速加强整个组织的安全状况。
平台包括仪表盘,基于在客户环境中实时发现,总结整个网络环境和提供从1级到5级的定量安全排名。
案例研究
客户是欧洲最大的港口之一,负责港口区域维护、铁路基础设施、防洪。港口大约有2000名员工,拥有处理千家物流公司货物的设备。
当前问题
港口大约有3500个终端,包括工作站和服务器。5名安全专家,三名兼职运维安全流程,两名全职安全分析人员,负责设计安全策略。
公司一年举行两次人工渗透测试,但演习过于频繁,会导致关键业务系统的连带破坏和服务中断。根据中断类型,宕机时间从一小时到三小时不等。此外,除了渗透测试的费用,公司必须花费大量的时间和工作来重建被人工渗透测试损坏的系统。而且,一周的时间能生成报告,和几乎半年的时间修复渗透测试发现的问题。更重要的是,公司从来不清楚整个网络的安全情况,因为演习仅仅覆盖庞大IT基础设施的一部分。
解决方案
公司运行XM Cyber 自动化BAS的poc测试,模拟整个基础设施渗透测试,避免了连带损坏的可能性。重复运行了大量的攻击场景,允许公司发现多个以前渗透测试没有发现的关键业务漏洞。
XM Cyber快速容易的在终端上部署轻量级探头,收集所有的数据,甚至在端点上,发现微小但重要的数据片段,如访问列表,其他能够被真正的攻击者利用的有助于攻击的文件。
被XM Cyber安全团队在IT基础设施的知识深度和广度所折服,加上费用的节省,CFO很容易批准。
结语
随着新的和更复杂的威胁出现,一个组织的信息安全目标常常变化。业务策略、流程、和目标的频繁更新,加上配置变更和安全更新,都会在IT环境中引入新的漏洞。
Frost & Sullivan 研究表明在IT环境中能够实时、360度可见、理解漏洞情境的企业,在漏洞缓解方面占据更有力的位置。而且,人工渗透测试演习仅仅给出了IT环境一小部分、某个时间点的快照,结果很快就丢失了相关性。此外,人工渗透测试的高成本和连带破坏高可能性,也阻止了更频繁的渗透测试演习。
自动化BAS工具,如XM Cyber改变了这个公式,使组织随着网络改变,以一种安全、可扩展和成本有效的方式,持续监控他们的IT环境。需要安全分析人员最少的输入,IT团队能把精力放在其他关键任务上。
Frost & Sullivan相信,使用高级自动化BAS技术,是更多具有大规模终端的企业需要接受的最佳实践。无可争议的帮助组织提高安全水平,同时允许IT部门变得更加有效。
声明:本文来自安全行者老霍,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
