Le preoccupazioni delle aziende non sono più colmabili con l’utilizzo di soluzioni BAS (Breach and Attack Simulation). Un test incompleto sui sistemi di sicurezza può avere conseguenze estremamente negative sulla “security posture” di una organizzazione, sulla sua brand reputation e in ultimo sui profitti.
La simulazione non è efficace quanto l’emulazione
Gli strumenti BAS si limitano, infatti, a effettuare una simulazione di un attacco, procedura molto meno efficace rispetto al condurre un vero attacco reale. Gli attacchi simulati risultano incompleti e spesso sono reingegnerizzati, cioè creati ad arte (ex novo) e di conseguenza, spesso, non sono riconosciuti come minaccia reale da parte dei sistemi di sicurezza.
“La conseguenza di questo è che i sistemi di sicurezza non riconoscono questi attacchi come una minaccia e spesso questo non permette di capire se un vero attacco verrà rilevato o meno: è una situazione molto pericolosa in quanto crea un falso senso di sicurezza”, commenta Gabriele Zanoni, Country Manager di Mandiant.
Le aziende riscontrano difficoltà a ottimizzare i propri sistemi di sicurezza senza l’utilizzo di veri attacchi basati sulle reali tattiche, tecniche e procedure (TTP) degli aggressori, spesso il solo modo per condurre queste attività è quello di avere la piena visibilità dell’intero ciclo di vita di un attacco.
Le simulazioni si concentrano solo sugli attacchi post-exploit
Le simulazioni condotte dai sistemi BAS si limitano a replicare le fasi di attacco post-compromissione. Come conseguenza, queste simulazioni non forniscono una visibilità completa del ciclo di vita/kill chain dell’attacco e queste informazioni sono fondamentali per analizzare l’efficacia della sicurezza nell’intera infrastruttura e ottimizzarne i controlli in modo proattivo.
I test sono efficaci quanto la sorgente usata
“La validità delle librerie degli attacchi presenti nelle soluzioni BAS odierne non possono tenere il passo con il panorama delle minacce, che è in continua evoluzione”, aggiunge Zanoni. “Queste soluzioni non sono in grado di tenere il passo in tempo reale con le minacce e i nuovi attacchi che avvengono ogni giorno”.
La mancanza di uso di informazioni di intelligence per fornire approfondimenti sulle attuali TTP utilizzate dagli aggressori, limita considerevolmente la capacità di un’organizzazione di identificare e difendersi dalle minacce più rilevanti.
Un’altra situazione critica da considerare quando si parla di validazione dei sistemi di sicurezza è la capacità di monitorare e rimediare ai cambiamenti improvvisi nell’ambiente IT che spesso restano “invisibili” al team di sicurezza. Queste lacune causano una riduzione dell’efficacia dei controlli di sicurezza e generano nuove opportunità per gli attaccanti. Alle soluzioni BAS mancano processi automatizzati per rilevare, rispondere e garantire l’integrità dell’infrastruttura di sicurezza.
“I cambiamenti negli ambienti digitali, che abbiamo avuto modo di vedere negli ultimi due anni, hanno avuto sicuramente impatti sulle politiche IT, sugli strumenti di sicurezza in uso, sulle architetture e sui segmenti di rete monitorati dalle soluzioni BAS”, conclude Zanoni. “Poter automatizzare, con test reali, la verifica dell’efficacia dell’infrastruttura di sicurezza diventa quindi fondamentale”.
Mandiant Security Validation offre ai team un sistema per mettere continuamente alla prova l’efficacia della sicurezza aziendale in termini di persone, processi e tecnologie, fornendo inoltre informazioni aggiornate sulle minacce globali e sui nuovi aggressori, permettendo di emulare i più recenti attacchi reali in modo sicuro anche nel caso in cui si tratti di attacchi ransomware distruttivi.
L’efficienza che possiede l’emulazione di Mandiant Security Validation tramite l’utilizzo in tempo reale di informazioni di intelligence sulle minacce, non è paragonabile con le simulazioni condotte usando le soluzioni BAS, e di conseguenza questi due approcci non offrono lo stesso grado di sicurezza alle aziende.
