- 21 Februarie 2023
Threat Simulator (Keysight Technologies) - cum pot simula companiile atacurile cele mai riscante asupra rețelelor?
Cine este de vină pentru creșterea criminalității informatice? Din păcate, suntem chiar noi. 95% din breșele cibernetice sunt cauzate de erori umane, conform World Economic Forum. De asemenea, un studiu Accenture arată că 68% din liderii de business consideră că riscurile de securitate informatică sunt în creștere, iar jumătate din companii consideră că departamentele lor IT nu sunt suficient de pregatite pentru a răspunde unui atac cibernetic.
Așadar, cum te protejezi? Te ajuți tot de tehnologie și de instrumente care-ți pot testa mai bine rețelele. Aceste instrumente au format o nouă piață în spațiul de securitate cibernetica, numita Breach and Attack Simulation, sau pe scurt, BAS, ele reprezentand metode avansate de testare a rețelelor și sistemelor informatice. Unul dintre produsele din piață de BAS este Threat Simulator de la Keysight Technologies, despre care vom discuta mai departe.
Ce este Threat Simulator?Cum ar fi dacă, pentru a verifica siguranța unei încuietori de la casă ai angaja un hoț profesionist ca să încerce să intre prin efracție? Dacă scenariul din viața reală nu este tocmai de dorit, în lumea digitală acest lucru poate fi făcut cu ajutorul unui simulator de amenințări care te ajută să vezi breșele de securitate din organizația ta.
Poți face acest lucru fie în colaborare cu o companie specializată care să-ți facă un audit de securitate, fie te poți baza pe instrumente digitale din cadrul organizației, care pot testa în mod regulat breșele de securitate.
Threat Simulator de la Keysight Technologies face exact acest lucru. Cea mai bună modalitate prin care să te protejezi de atacatori este să simulezi un atac și să observi apoi care sunt punctele slabe. Threat Simulator e o soluție SaaS (adică Software as a Service) prin care ai la dispoziție o platformă actualizată, conectată la ultimele amenințări din industrie, care poate simula, în manieră sigură, un atac asupra rețelei tale. Dar în loc să pierzi date și bani, poți câștiga încredere, atât pentru tine, cât și pentru partenerii tăi de business. ”Produsul poate fi folosit de orice organizație care are un risc de securitate cibernetică și care vrea să-și securizeze afacerea. Trebuie să înțelegi cât de eficiente sunt controalele tale de securitate și abilitatea de a te proteja de un atac cibernetic”, spune Steve McGregory, Senior Director of Software Engineering la Keysight Technologies.
Produsul permite o testare extensivă folosind o gama impresionantă de tactici, tehnici și proceduri utilizate în mod curent de către atacatori. Cu ajutorul Threat Simulator poți simula atacurile asupra rețelei, asupra unor echipamente din rețea, denumite in mod generic endpoint-uri, dar și asupra serverelor de email.
”Ecosistemul de securitate cibernetică se schimbă permanent. Adversarii vin cu metode softisticate pentru a trece peste protecțiile de securitate ale companiilor. Cele mai complicate lucruri sunt research-ul de securitate și construirea de procese corecte ce duc la unelte care au rezultate acționabile pentru utilizator”, spune Dragoș Savu, Senior Manager Product Development la Keysight Technologies.
Threat Simulator e un produs dedicat departamentelor interne de securitate IT. ”Vrem ca toate testele realizate să fie relevante și acționabile. Adică să ofere audituri și informații relevante pentru a testa atacuri. Produsul poate recomanda conținut de testare, dar și departamentele interne pot căuta orice metadate asociate cu auditurile și concluziile noastre”, spune Dragoș Savu. ”Acționabil înseamnă că utilizatorii pot crea un plan de acțiune după ce realizează un test. Cu ajutorul testelor utilizatorii pot vedea dacă acele controale de securitate au prevenit sau detectat activitatea din test. Ulterior, oferim și recomandări pentru acțiuni ce pot fi luate pentru remedierea eventualelor probleme de securitate”, mai spune expertul Keysight Technologies.
Atacurile cele mai întâlnite în companiiPrintre cel mai întâlnite tipuri de atacuri cibernetice este phishing-ul, adică mesaje care par că vin de la organizații respectabile. Dar, în lumea reală, în spatele mesajelor sunt grupări de criminalitate informatică pregătite să-ți fure datele și banii. Dark Cloud simulează phishing, comportamentul utilizatorilor, (pentru că ziceam că oamenii sunt de obicei vinovați pentru breșe), transmisia de malware, infecțiile și mișcările unui atac. Și dincolo de acest lucru, Threat Simulator este actualizat pentru a răspunde la așa-numite vulnerabilități de tip Zero Day. Acestea sunt cele care dau cele mai multe bătăi de cap, pentru că sunt vulnerabilități în interiorul unor soft-uri care pot fi folosite de atacatori ca portițe de intrare în rețeaua unei organizații. Acest lucru se întâmplă din cauza faptului că orice program informatic ar putea avea o ușiță lăsată deschisă celor mai inteligenți hackeri.
După aceste testări nu vei rămâne doar cu o serie de concluzii, ci cu posibilități de a acționa. Threat Simulator de la Keysight Technologies are un departament numit ATI - Application and Threat Intelligence. Keysight trimite în mod regulat actualizări, pentru a fi la curent cu ultimele amenințări asupra rețelelor tale. Baza de date a acestui centru de cercetare de la Keysight conține peste 50 de milioane de informații și amenințări care sunt analizate și catalogate în fiecare lună.
Anul trecut atacurile au expus mai mult de 22 de miliarde de date în toată lumea. Nume, prenume, adrese, email-uri, numere de card, parole. Dacă utilizatorii obișnuiți sunt și ei expuși, companiile sunt o țintă evidentă pentru hackeri. Și un moment de vulnerabilitate poate afecta business-ul pe termen lung. Keysight Technologies lucrează constant pentru actualizarea produsului ca acesta să fie pregătit pentru a proteja companiile.
”Prioritatea noastră este să identificăm cele mai relevante atacuri și TTP-uri (n.r. - tactici, tehnici și proceduri) pentru a fi testate în ecosistemul clienților. Avem procese și unelte automate pentru a crea conținut. Obiectivul nostru intern e să venim cu un conținut nou în 24 de ore de când am strâns datele pentru un test”, explică Dragoș Savu.
Ce tehnologii folosește Threat Simulator?Threat Simulator este construit ca un Software as a Service, care să fie folosit ușor de către companii. E construit pe o arhitectură pusă pe servicii AWS și conține tehnologii precum Amazon API Gateway, AWS Lambda, Amazon DynamoDB, Amazon S3, Kubernetes și Angular. Pe lângă acest lucru, Keysight Technologies are propriul departament de securitate numit ATI.
”Application and Threat Intelligence analizează amenințările. De asemenea, avem numeroase sisteme de threat intelligence pentru a ne ajuta în cercetare. Aceste sisteme procesează milioane de date zilnic și implementează tehnologii precum sandboxing, static analysis, machine learning și custom expert systems pentru a include testele relevante în Threat Simulator”, explică Dragoș Savu.
Conform statisticilor, atacurile cibernernetice provoacă în medie daune de ordinul milioanelor de dolari. Motivul e că datele sunt blocate, activitatea perturbată, iar de multe ori companiile sunt forțate să plătească răscumpărări. Astfel că Threat Simulator poate fi o metodă eficientă de reducere a acestor costuri de risc. ”Threat Simulator pornește de la 12.000 de dolari pe an pentru un singur agent pe care-l poți opera. Cu ajutorul său poți face aceleași tipuri de atacuri pe care un deployment de milioane de dolari le-ar face și să reduci riscurile”, spune Steve McGregory.
Astfel, Keysight Technologies vrea să pună la îndemâna companiilor metode prin care să testeze punctele cele mai sensibile. ”Cele mai des întâlnite atacuri se întâmplă din cauza angajaților, prin email. Iar mail-ul este unul din vectorii noștri de atac. Oferim malware de phishing, fișierele atașate la un mail care nu sunt malițioase și diferite scenarii”, mai adauga Steve McGregory.
Practic, cu ajutorul Threat Simulator nu trebuie să aștepți atacul cibernetic, ci îl poți testa într-un mediu controlat. ”Nu trebuie să trimiți nimic utilizatorilor, pentru că noi vom simula totul în mod sigur pentru tine. Avem o bază de date foarte mare de exploit-uri, mai ales după ce am achiziționat IXIA, o companie care face asta de 20 de ani”, explică reprezentantul Keysight Technologies.