Внутренний автопентест APT (Autonomous Penetration Testing) Тесты на проникновение (пентесты) и проведение комплексной проверки Red Teaming остаются одними из самых действенных способов реальной оценки защищённости инфраструктуры и эффективности средств защиты, их проведение поддерживается регуляторными требованиями и давно стало де-факто стандартом зрелых компаний. Однако качественные услуги в этой области дороги, а хорошие пентестеры - настоящие единичные таланты. При этом сегодня хакеры активно используют ИИ, и нам стоит перенимать их инструменты и подходы. Поэтому я верю в перспективность развития систем класса BAS (Breach and Attack Simulation) и APT (Autonomous Penetration Testing), особенно с применением ИИ, как возможность для автоматизации и дополнения ручных тестов на проникновение, а вследствие повышения их доступности. Gartner объединил APT и BAS в Threat Exposure Management (TEM), увязав воедино процессы и решения, которые раньше рассматривал в отдельных классах, но у нас это пока отдельные решения, которые ещё находятся в развитии. Особенно перспективным считаю именно тот подход автопентеста, в рамках которого система сама пытается действительно эксплуатировать найденные цепочки уязвимостей внутри инфраструктуры, как это сделал бы реальный злоумышленник, а не моделирует условные сценарии или генерирует артефакты атаки. Поэтому далее под терминами «автопентест» и APT я буду подразумевать, прежде всего, реальную автоматизацию эксплуатации цепочек уязвимостей. Российский рынок пока только формируется — игроков не так много. Из них выглядят именно так, как хотелось бы видеть автопентесты: ️⃣APT Bezdna + BAS Felix (CTRLHACK) ️⃣APT Dephaze (Positive Technologies) ️⃣BAS SimuStrike (Газинформсервис) ️⃣ARMUG (Crosstech Solutions Group) - больше продвинутый сканер, но есть заложенный функционал эксплуатации уязвимостей и "дальнейшее продвижение" ️⃣Autopentest Platform (Autopentest Lab) - тут, конечно, в наличии только красивый лендинг Следующие два продукта больше средства автоматизации пентеста, чем автопентест: ️⃣OffWare BAS + Nuke «Command and Control Server» *️⃣Continuous Advanced Management Penetration Organisation Testing (CAMPOT) Результаты быстрого пилотирования в своей сети двух из перечисленных решений на мой взгляд привели к примерно одинаковым наблюдениям: ➖Системы пока не выявили главного, что мы ожидаем от решений такого класса - построения и эксплуатации цепочек атак и горизонтального передвижения между узлами. При этом мы пробовали давать хост с отключенным антивирусом и доменную учетную запись. Результаты работы на одном хосте были получены, но такие проблемы как наличие уязвимостей или стандартные пароли, можно выявлять и с помощью сканера уязвимостей. ➖Действия автопентеста были слишком шумными: на них среагировали все возможные средства защиты - антивирус, NTA, ловушки и т.д. Если одна из целей проведения автопентеста - реальная проверка средств защиты, то нужен тихий режим работы, когда атаки имитируются скрытно, как это делают опытные злоумышленники, а не вызывают срабатывание всех возможных событий. ❗️Несмотря на это, системы автопентеста выглядят интересно и, с учётом развития ИИ, будут становиться не только дополнительным инструментом, но и самостоятельным решением в арсенале ИБ-подразделений, при этом сделав пентесты доступнее для компаний и экономя время пентестеров и Red Team на более сложные векторы атак. Будем пилотировать дальше. А вы что думаете по поводу востребованности BAS и автопентестов? #решенияИБ@oscar_cybersec