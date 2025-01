Tyto technologie patří do širší kategorie, kterou Gartner označuje jako řízení expozice (exposure management), ale jiné skupiny analytiků mohou používat mírně odlišné definice těchto pojmů.

BAS často také doplňuje posouzení útočného prostoru (ASA, Attack Surface Assessment). Zatímco BAS se zaměřuje na zajištění toho, aby fungovala podniková bezpečnostní opatření, jako je např. EDR (Endpoint Detection and Response), ASA hledá všechny potenciální zranitelnosti a vektory útoků.

Systémy BAS navíc mohou využívat přihlašovací údaje a znalosti interních systémů k simulaci nejen externích útoků, ale také interních hrozeb, to znamená od vlastního personálu.

Nástroj BAS je tedy dobrým způsobem kontroly, zda vaše bezpečnostní opatření fungují tak, jak se původně zamýšlelo, zatímco penetrační testování najde oblasti, které tyto bezpečnostní kontroly nemusejí pokrývat a útočník by taková místa mohl použít k dosažení svých cílů.

Využívání práce červeného týmu a penetrační testování si lze v takovém přirovnání představit jako najmout si někoho, kdo má poté za úkol vloupat se do vašeho domu a ukrást váš trezor – a on následně najde otevřené okno, u kterého jste zapomněli, že vůbec existuje.

BAS je obvykle drahá záležitost, takže to není produkt, který kupují menší společnosti s malým rozpočtem nebo provozními omezeními, dodává Ilia Rabinovich, šéf pro nepřátelské taktiky ve společnosti Sygnia.

Generativní umělá inteligence by se také mohla použít k tomu, aby společnostem pomohla porozumět problémům, které nalezl nástroj BAS, ke stanovení priorit a k návrhu konkrétních nápravných opatření.

V budoucnu bychom se také mohli dočkat schopnosti AI modelovat hrozby na základě zpravodajských informací, prohlašuje Nost, nebo typů útoků, o něž mají uživatelé největší zájem nebo které by s nejvyšší pravděpodobností ovlivnily jejich organizace.

Dalším velkým trendem tohoto sektoru – stejně jako ve všech ostatních oblastech kybernetického zabezpečení – je to, že dodavatelé hledají příležitosti k integraci generativní umělé inteligence do svých produktů.

Možnou nevýhodou získání BAS od dodavatele, který nabízí i XDR, je například to, že zákazník možná nebude chtít mít stejného dodavatele poskytujícího obranné schopnosti i testování, aby se zjistilo, zda tyto obranné schopnosti skutečně fungují tak, jak by měly.

Gartner předpovídá, že do roku 2026 bude více než 40 % organizací při posouzení kybernetické bezpečnosti využívat konsolidované platformy nebo poskytovatele spravovaných služeb.

To však vyžaduje integraci s různými druhy nástrojů. „A to není tak jednoduché.“

Hlavní funkce, které by společnosti měly v nástrojích BAS hledat, jsou následující:

Přední dodavatelé BAS

Společnost Expert Insights zaměřená na výzkum podnikových technologií sestavila seznam devíti klíčových dodavatelů BAS. Tento soupis zohledňuje hlavní funkce, jako jsou emulace hrozeb, podrobnost reportů a snadnost integrace.

Toto je oněch devět vybraných firem/řešení: AttackIQ, Cymulate, Fortinet FortiTester, Mandiant Red Team Assessment, NetSPI Breach and Attack Simulation, Picus Security, RedScan Breach and Attack Simulation, ReliaQuest GreyMatter Verify a SafeBreach Breach and Attack Simulation Platform.

Cymulate, Picus, AttackIQ, SafeBreach, Fortinet a NetSPI patří také k hlavním dodavatelům podle hodnocení těchto nástrojů publikovaného společností Gartner. Seznam Gartneru je obsáhlejší a uvádí celkem sedmnáct dodavatelů, ale šest z nich nezískalo žádné zákaznické recenze, zatímco firmy jako XM Cyber a Keysight mají v systému vysoké hodnocení, přestože v seznamu společnosti Expert Insights nejsou.

AttackIQ

Podle Expert Insights základní emulační platforma AttackIQ replikuje taktiky, techniky a postupy protivníka v souladu s frameworkem Mitre ATT&CK.

Tato společnost nedávno vydala druhou generaci své spravované platformy BAS v podobě služby (BASaaS, Breach and Attack Simulation-as-a-Service) s označením Ready!, aby organizacím usnadnila a zrychlila zavedení programu kontinuálního ověřování zabezpečení.

Dalším hlavním produktem BAS společnosti AttackIQ je Flex, testovací služba na vyžádání bez potřeby agentů, jejíž cena je založená na výsledcích, a nikoliv na počtu testů či licencí.

AttackIQ je také známá svou schopností testovat komponenty kybernetické bezpečnosti založené na ML a AI.

Podle Carla Wrighta, tamějšího obchodního ředitele, je jejich společnost jediným dodavatelem BAS, který nabízí jak samoobslužná, tak plně spravovaná BAS řešení i řešení v podobě společně spravované služby.

To znamená, že její produkty „mohou vyhovět potřebám organizace, jejímu rozpočtu a způsobu, jakým chce takové schopnosti využívat“.

AttackIQ pracuje na využití AI ke zlepšení svých emulací. To pomůže zákazníkům zrychlit testovací cyklus, komentuje Wright, zkrátit čas potřebný k nalezení a nápravě bezpečnostních mezer a automaticky generovat sigma pravidla pro případy použití v detekčním inženýrství.

Cymulate

Podle Expert Insights je Cymulate předním dodavatelem pro kontinuální řízení expozice hrozbám a zároveň je nejlépe hodnoceným dodavatelem podle Peer Reviews od Gartneru.

Stejně jako AttackIQ používá i Cymulate framework Mitre ATT&CK a je známý pro svou použitelnost a uživatelskou zkušenost.

Cymulate se nasazuje jako řešení SaaS s možností privátního pronájmu pro podniky, které vyžadují segregaci dat. V současné době trvá nasazení nástroje s nastavením integrací tři až čtyři týdny, uvádí Nir Loya Dahan, produktový viceprezident společnosti Cymulate.

Společnost plánuje brzy využít generativní AI ke zkrácení této doby na pouhé minuty. Chystá také využití generativní AI k automatickému vytváření scénářů útoků, k redukci počtu tisíců – nebo stovek tisíc – výsledků simulací útoků. GenAI pak stanoví jasnou strategii zmírňování a vysvětlí bezpečnostním týmům, jak to celé zrealizovat.

Tyto funkce se začnou postupně zavádět během několika příštích měsíců a celá sada bude k dispozici do konce letošního roku, plánuje Dahan.

Fortinet FortiTester

FortiTester nabízí simulační testování Mitre ATT&CK, IPS testy založené na CVE i generování DDoS a dokáže simulovat různé typy provozu včetně SSL, uvádí Expert Insights.

Kombinuje také BAS s testováním výkonu sítě, a vytváří tak komplexní nástroj. Nemá však tak vysoké hodnocení v Gartner Peer Insights jako některé z předchozích nástrojů.

Mandiant

Společnost Mandiant je známější pro své služby threat intelligence, ale nabízí také simulaci narušení a útoků (BAS) prostřednictvím svého softwaru Mandiant Advantage Security Validation.

Expertiza threat intelligence je do jejího produktu BAS integrovaná, což ho pomáhá odlišit od konkurence.

K funkcím patří mapování frameworku Mitre ATT&CK, automatická detekce a upozornění na posun prostředí a simulace reálných útoků.

NetSPI

NetSPI je nejvíce známá pro své penetrační testování, ale může také ověřovat fungování opatření, identifikovat mezery v detekci a poskytovat správu útočného prostoru tím, že detekuje potenciální zranitelnosti v aktivech vystavených veřejnosti.

Expertiza v oblasti penetračního testování znamená, že zákazníci společnosti NetSPI mohou získat praktickou podporu, vysvětluje Derek Wilson, hlavní bezpečnostní konzultant této společnosti.

„Náš tým zkušených penetračních testérů se telekonferencí spojí s vaším týmem provozního centra zabezpečení (SOC, Security Operation Center), nasdílejí si obrazovky, projdou společně potřebnou část našich postupů a vytvoří záznam o souvisejících detekcích a prevenci.“

NetSPI v současné době používá generativní AI k vytvoření funkce doporučení s prioritami. „Budeme moci používat více zdrojů dat a rychle identifikovat a stanovit priority pro jednotlivé testy, které by koncovému uživateli poskytly největší hodnotu,“ popisuje Wilson.

K dalšímu potenciálnímu využití generativní umělé inteligence patří dynamické generování scénářů na základě nejnovějších informací o hrozbách pro konkrétní průmyslová odvětví a vytváření dynamických řetězců útoků či pomoc při identifikaci míst, kde nemusí existovat dostatečné pokrytí.

Picus Security

Picus je podle recenzí Gartner Peer Reviews druhým nejlépe hodnoceným dodavatelem BAS a ve zprávě Gartneru pro rok 2024 byl označen jako „volba zákazníků (Customer’s Choice)“ pro BAS. Společnost tvrdí, že má stovky zákazníků po celém světě včetně firem Mastercard a ING.

Platforma Picus Security Validation zahrnuje BAS jako základní řešení, ale nabízí také automatizované penetrační testování a správu útočného prostoru, uvádí Volkan Erturk, technický ředitel této společnosti.

Podporuje také optimalizaci centra SOC a správu stavu zabezpečení cloudu (CSPM, Cloud Security Posture Management), popisuje.

Společnost také výrazně investuje do umělé inteligence a nabízí funkci bezpečnostního analytika založenou na generativní AI, která může organizacím nabídnout informace o stavu jejich zabezpečení.

„Uživatelé mohou kladením otázek okamžitě zkontrolovat výsledky hodnocení bezpečnostní validace a získat pro sebe přizpůsobená doporučení ke stanovení priorit a řešení hrozeb na základě profilu hrozeb jejich organizace a nejnovějších informací threat intelligence,“ tvrdí Erturk.

Nástroj poháněný generativní umělou inteligencí dokáže inteligentně mapovat pravidla SIEM organizace na framework Mitre ATT&CK a poskytovat doporučení založená na umělé inteligenci ke zmírnění nedostatků v pokrytí hrozeb a viditelnosti.

Redscan Breach and Attack Simulation

Společnost Redscan se specializuje na spravovanou detekci a reakci (MDR, Managed Detection and Response) a penetrační testování. Výsledkem této kombinace je, že přináší praktický přístup k simulacím narušení a útoků.

Vytváří simulace narušení přizpůsobené pro společnosti na základě desítek let zkušeností s reakcemi na incidenty a testováním. Redscan také poskytuje odborné rady pro další kroky následující po simulaci.

Reliaquest GreyMatter Verify

Firma ReliaQuest je známá svou platformou GreyMatter pro provoz zabezpečení. Gartner ji vloni v létě zařadil mezi dodavatele typu „volba zákazníků (customer’s choice)“ v kategorii MDR s tím, že 94 % klientů uvádí, že ji mohou doporučit, a to se zvláštním důrazem v segmentu středně velkých podniků.

Produkt Verify nabízí plně vybavené a v praxi otestované scénáře, které mohou bezpečnostní analytici spustit a okamžitě získat výsledky.

Tento dodavatel často aktualizuje scénáře útoků na základě nejnovějších informací threat intelligence. Mapuje pokrytí hrozeb na bezpečnostní frameworky, jako je např. Mitre ATT&CK, kontroluje, zda dosavadní bezpečnostní produkty fungují, a dokáže vyhodnotit, jestli budou nová bezpečnostní opatření účinná.

Podniky, kterým nevadí mít BAS a MDR od stejného dodavatele, mohou tuto integraci ocenit.

SafeBreach

Gartner uvádí firmu SafeBreach jako čtvrtého nejlépe hodnoceného specializovaného dodavatele BAS. Ta je známá svou integrací s dalšími bezpečnostními nástroji a jako své zákazníky uvádí např. společnosti Netflix, PayPal, Pepsi nebo Carlsberg Group.

BAS od SafeBreach testuje účinnost dosavadních bezpečnostních opatření pomocí více než 25 tisíc metod útoků ze své kolekce Hacker’s Playbook. Uvádí, že nové hrozby přidává do své platformy nejpozději do 24 hodin.

Zákazníci mohou vytvářet přizpůsobené simulace útoků, platforma používá framework Mitre ATT&CK a také poskytuje odhad nákladů na úsilí o snížení rizik.