0
0
O aumento no número de superfícies de ataque, juntamente com o aumento da sofisticação dos cibercriminosos, está gerando dívidas técnicas para os centros de operações de segurança (SOCs) , muitos dos quais com falta de pessoal e incapazes de dedicar tempo para gerenciar com eficácia o crescente número de ferramentas de segurança em seu ambiente.
No entanto, independentemente desses desafios, as equipes SOC têm a tarefa de evoluir e se adaptar continuamente para se defender contra ameaças emergentes e sofisticadas.
Existem vários players importantes no mercado de BAS que prometem validação contínua de controle de segurança automatizado. Muitos podem replicar o comportamento específico do invasor e integrar-se à sua pilha de telemetria para verificar se o comportamento foi observado, gerou um alerta e foi bloqueado.
Mas, à medida que o mercado de BAS continua a evoluir, também há uma oportunidade de solucionar as deficiências. No novo ano, esperamos ver várias melhorias incrementais nas soluções BAS, com esses quatro temas liderando a carga.
Implantação de produto mais simplificada para reduzir custos
Muitas soluções de validação de controle de segurança totalmente automatizadas incluem custos ocultos. Primeiro, eles exigem configuração inicial para suas implantações no local, o que também pode exigir personalizações para garantir que tudo funcione corretamente com as integrações. Além disso, as soluções BAS precisam ser mantidas proativamente e, para ambientes corporativos, isso geralmente requer uma equipe dedicada.
Como resultado, veremos os fornecedores de BAS trabalharem mais para otimizar suas implantações de produtos para ajudar a reduzir o custo indireto para seus clientes por meio de métodos como o fornecimento de mais ofertas baseadas em SaaS.
Maior personalização e integrações
Muitas ferramentas BAS são projetadas para realizar validação automatizada de controle de segurança. A maioria tem uma extensa biblioteca de módulos de automação que podem simular ameaças específicas e comportamentos maliciosos em endpoints, redes ou plataformas de nuvem. Os fornecedores de BAS tendem a competir no mercado dessa maneira.
No entanto, muitos fornecedores não oferecem a capacidade de criar ou personalizar módulos de maneira significativa. Por exemplo, alguns não fornecem ao usuário uma maneira de encadear procedimentos de ataque, o que pode ser essencial ao tentar simular uma ameaça emergente que usa táticas, técnicas e procedimentos ( TTPs ) comuns.
Além disso, a maioria dos módulos de ataque não fornece muitos insights sobre o que está fazendo, tornando mais difícil para o analista SOC ou red teamer que usa a plataforma entender exatamente o que está sendo executado, quais artefatos são esperados e como eles devem criar detecções . A maioria das plataformas também parece não ter módulos robustos para simular comando e controle flexíveis, pilha de e-mail e procedimentos de ataque de plataforma de nuvem nativa.
Para oferecer suporte à validação automatizada de controle de segurança, a maioria dos provedores de BAS incorpora integrações com detecção e resposta de endpoint, antivírus, dispositivos de rede, ferramentas de gerenciamento de vulnerabilidades, sistemas de tíquetes e fornecedores de SIEM (gerenciamento de informações e eventos de segurança).
Tendo sido exposto a algumas equipes SOC e suas pilhas de telemetria na última década, posso dizer com segurança que cada ambiente é único. Por esse motivo, as integrações se tornaram uma maneira significativa de competir no mercado de software BAS. No entanto, em muitos casos, eles ainda exigem um pouco de personalização.
No futuro, veremos um aumento nas inovações personalizáveis que ajudarão a simplificar esses processos e integrações.
Diminuição das inconsistências de validação e recursos de relatórios aprimorados
É um desafio verificar se cada módulo de ataque executado por uma plataforma BAS foi entregue, executado e completou sua tarefa com sucesso. No entanto, é ainda mais difícil determinar com precisão se a ação foi bloqueada (e por quê), determinar se um alerta foi gerado e verificar se o alerta acionou a criação de um ticket de resposta adequado. Vimos algumas melhorias incrementais com fornecedores no ano passado, mas algumas ainda têm um longo caminho a percorrer.
Muitas soluções BAS no mercado não oferecem insights de dados significativos que permitam às empresas rastrear sua cobertura de detecção historicamente ao longo do tempo ou identificar tendências que possam influenciar os investimentos em controle de segurança. Na verdade, poucas soluções suportam a exportação de resultados brutos em um formato como JSON ou XML que outros processos de negócios podem consumir. A curto prazo, a maioria deles se integra a aplicativos de emissão de tíquetes, como ServiceNow e Jira, mas isso geralmente acarreta custos adicionais. Esta é outra área destinada a mudar com base na demanda do cliente por melhor otimização e eficiência de custos.
Orientação e serviços especializados práticos
O BAS continua sendo um mercado relativamente novo. As organizações valorizam a interação individual com especialistas em segurança ofensiva ao usar soluções, especialmente para aqueles que usam o BAS pela primeira vez. A maioria das soluções do mercado não oferece isso hoje.
Módulos de ataque que incluem material educacional detalhado podem ser valiosos para equipes de segurança motivadas, mas não há substituto para a engenhosidade humana. Muitos clientes hoje preferem ser guiados por cada módulo com um especialista que conheça o material, treine o pessoal como usar o BAS, mostre como os módulos funcionam nos bastidores e possa responder a perguntas e fornecer insights sobre a telemetria do ambiente que a equipe SOCtalvez ainda não tenha. Esperamos ver muito mais empresas combinando serviços humanos com produtos BAS no futuro, porque as organizações simplesmente obtêm mais valor da experiência.
À medida que a necessidade de soluções BAS se torna ainda mais forte, os fornecedores também devem abordar esses pontos problemáticos para que os clientes se mantenham competitivos. Os provedores precisam encontrar um equilíbrio entre melhorar os produtos e expandir suas capacidades de serviço. Como resultado, veremos o mercado de BAS continuar a mudar em 2023 e além.
FONTE: HELPNET SECURITY