A naplófigyelés (például SIEM), a tűzfalak és a vírusellenes technológiák több mint két évtizeddel ezelőtti bevezetése értékes eszközöknek bizonyultak a gyanús hálózati viselkedések felderítésére. Azonban az idő múlásával és a digitális rendszereink rohamos fejlődése ellenére a hálózatbiztonságért felelős szakemberek technológiai repertoárja nem sokat változott.
A hálózatunk elleni támadások szofisztikáltabbá válásával egyre nehezebb megkülönböztetni a jó- és rosszindulatú aktivitásokat. A támadók gyakran a legitim operációs rendszer eszközkészletét használják, így egyre nehezebb észrevenni a támadási kísérleteket a normál hálózati működés között. Egy másik nehezítő tényező, hogy nem minden gyanús viselkedés rosszindulatú. Ennek eredményeként akár csapdát is jelenthetnek a hálózati tevékenységbe bepillantást nyújtó, hasznosnak vélt eszközök. Az eddig használt sérülékenységmenedzsment eszközök sebezhetőségek hosszú listáival árasztják el a biztonsági csapatokat, melyeknek azonban csak kis százaléka tényleges veszélyforrás.
A sérülékenységvizsgálat (Vulnerability Assessment) és a sérülékenységmenedzsment (Vulnerability Management) olyan szoftveres megoldások, amelyek ügyetlenek a talált sérülékenységek rangsorolásában. Akár több ezer sebezhetőséget tárnak fel, de a valóságban ezeknek nagy százaléka téves riasztás. Ráadásul a valódi sebezhetőségeknek mindössze 5%-át tudják kihasználni a támadók, és ezek közül is csak néhány vezethet kritikus végkimenetelű támadáshoz.
A
Breach & Attack Simulation (BAS) a biztonsági ellenőrzési adatok összegyűjtéséről és az offline kockázatmodellezési elemzésről szól. Ez a megoldás azonban valós tesztelés helyett az elemzési adatokból következteti, szimulálja, hogy mi történne támadás esetén. A felhasználók ebben az esetben is téves riasztásokkal és hibás prioritásokkal szembesülnek.
A sebezhetőségek száma exponanciálisan növekszik és ezt emberi erőforrással a szervezetek nem tudják lekövetni. Egy átlagosan 5000 alkalmazottat foglalkoztató szervezet hálózatán a sebezhetőségeknek csak a 13%-a számít kritikusnak. De hogyan lehet felmérni a „kritikusságot”?
Az egyetlen módja, hogy megbizonyosodjunk arról, hogy egy sebezhetőség kritikus-e, ha teszteljük, azaz kihasználjuk, és bebizonyítjuk, hogy egy teljes támadási folyamat (ún. „kill chain”) alkotóeleme.
A
szolgáltatás alapú penetrációs tesztelés pontosan erre alkalmas. Valós, de „ártalmatlanított” támadásokkal teszteli a védelmet és osztályozza a sebezhetőségeket. A penetrációs tesztelést végző informatikusok, bár rávilágítanak a főbb hiányosságokra, ám a penetrációs tesztelés ebben a formájában nem skálázható, drága, rendkívüli szakértelmet igényel, emellett hatókör és idő tekintetében is limitált. Így a manuális penetrációs teszteket tipikusan csak az üzlet szempontjából kritikus infrastruktúrákon szokták elvégezni, a lehetséges támadási felületek jelentős részét érintetlenül hagyva.
A sebezhetőségek priorizálása nélkül továbbá a biztonsági csapatoknak csak egy véget nem érő sebezhetőségi lista befoltozására van lehetőségük. Ez a megoldás pedig szinte lehetetlenné teszi a tényleges kockázatok csökkentését.
A nem automatizált penetrációs tesztelés rávilágít a legkritikusabb sebezhetőségekre, de – mivel manuális folyamatról van szó – csak pillanatképet ad a szervezet biztonsági helyzetéről.
Összefoglalva a manuális penetrációs tesztelés fő problémáit:
• Tesztelési gyakoriság. A penetrációs teszt eredményei rövidéletűek egy dinamikusan fejlődő IT környezetben. Az 1. negyedévben végzett teszt eredménye már régmúltnak számít a 3. negyedévben. A folyamatos tesztelés pedig nem opció annak hatalmas költségei miatt.
• Tesztelési módszerek. A tesztelést végző etikus hackerek akár éveken keresztül ugyanazt a támadási forgatókönyvet használják. Habár fontos tesztelni hálózatunkat a jól bevált támadási technikákkal szemben, az új és fejlődő támadások felmérése is kritikus fontosságú.
Az IT-infrastruktúra és a kiberfenyegetések gyors fejlődése miatt rendkívül fontos, hogy a valódi sebezhetőségeket még azelőtt kezeljük, mielőtt bárki kihasználná őket. Míg a penetrációs tesztelési szolgáltatások erre alkalmasak lehetnek, sajnos nem skálázhatók, és nem alkalmazhatók folyamatosan.
Úttörő megoldást jelent az
automatizált biztonsági validáció (ASV). Ez a technológia képes az etikus hackerek által lefolytatott penetrációs tesztelést egy szoftver erejével, hiánytalanul elvégezni hálózatunk teljes - külső és belső - támadási felületén. Kitettségeink ismerete pedig lehetővé teszi, hogy erőforrásainkat a valódi biztonsági hiányosságok költséghatékony orvoslására összpontosítsuk. A validáció által szolgáltatott adatok a fenyegetések tényleges hatását jelzik, és ezen friss adatok birtokában a szakemberek tűpontos biztonsági műveleteket képesek végrehajtani.
Az automatizált biztonsági validáció a folyamatos kibervédelmi felkészültség érdekében három biztonsági funkció tökéletes összeforrasztásával jött létre:
• Automatizált penetrációs tesztelés – Folyamatosan, valós időben feltérképezi hálózatunkat, és támadást indít a sebezhetőségek ellen, tényleges károk okozása nélkül
• Sebezhetőségek felmérése – Rendszerünk összes sebezhetőségének azonosítása, rangsorolása és a köztük lévő összefüggések feltárása
• Kockázatalapú kármentesítési prioritások meghatározása
A Pentera ASV-megoldásának előnyei:
• Három funkció egyben: automatizált penetrációs teszt, sérülékenységvizsgálat és -kiértékelés, kockázatkezelés
• Folyamatosan futó, valós idejű felderítés és penetrációs teszt – exploit fókuszú megközelítés a biztonsági validációban
• Skálázható támadási zajszint – mennyire legyen csendes a tesztelés, eszerint riaszthatók a védelmi eszközök
• Választható automata üzemmód operátorok számára az éles üzem biztonsága érdekében: A támadási minták csak az ismert és kihasznált sérülékenységek kezelésére korlátozódnak, így minimalizálódik a ’false positive’ riasztások kockázata
• Választható kézi üzemmód magasan képzett biztonsági szakemberek számára: Külön jogosultsági szinttel aktiválhatók az egyedi támadási minták
• Nincs előre rögzített forgatókönyv – ha az ASV sérülékenységet talál, újratervezi a teljes támadási útvonalat
• Valós ransomware támadási minták használata
• VPN sérülékenységek tesztelése
• Saját fejlesztésű lopakodási és terjeszkedési algoritmusok, amelyek megkerülik a biztonsági eszközöket
• Riport felület: láthatóvá teszi, hogyan épülnek egymásra a sérülékenységek, priorizálja azokat, és ezzel magabiztosságot ad az üzemeltető személyzetnek
Az automatizált biztonsági ellenőrzés (ASV) előnyei a szokásos sérülékenységmenedzsment megoldásokkal szemben:
A kritikus sebezhetőség számít – A legtöbb biztonsági megoldás feltárja a sebezhetőségeket, de ennél többre nem képes. A biztonsági csapatok a kockázat szempontjából legkritikusabb sérülékenységekkel kívánnak foglalkozni. Ennek érdekében az ASV emulálja (tehát éles környezetben teszteli) azokat a taktikákat és technikákat, amelyeket a valós támadók a hálózat elleni támadáskor használnának. A régebbi megoldások nem képesek tényleges támadások legfolytatására és a felbukkanó sebezhetőségek kockázat szerinti priorizálására, Az automatizált biztonsági ellenőrzés ezzel szemben átfogó képet ad a hálózat tényleges kitettségeiről.
Újratesztelés lehetősége - Sérülékenységvizsgálat során az IT-csapatok gyakran nehezen tudják eldönteni, hogy az általuk végrehajtott változtatások vajon javították-e a biztonságot, vagy éppen járulékos károkat okoztak a hálózatban. Az automatizált biztonsági validációval a biztonsági csapatok azonnal újratesztelhetik környezetüket, és összehasonlíthatják hálózatuk korábbi konfigurációjával, hogy kiderítsek, hatékonyak voltak-e a változtatások.
Az automatizált biztonsági ellenőrzés paradigmaváltást jelent, hiszen folyamatos javítási ciklus biztosítása révén lehetővé teszi a szakemberek számára, hogy a legfontosabb biztonsági résekre összpontosítsanak, és kiderítsék a probléma valódi kiváltó okát.
Kapcsolódó tartalom
Pentera képzések a RelNet eLearning programban