BAS is de kracht achter echte verdediging

Cyberbeveiliging
BAS is de kracht achter echte verdediging

Beveiliging faalt niet op het punt van een inbreuk. Het mislukt op het punt van impact.

Die lijn zette de toon voor dit jaar Picus Breach and Simulation (BAS)-topwaar onderzoekers, praktijkmensen en CISO’s allemaal hetzelfde thema herhaalden: cyberdefensie gaat niet langer over voorspellen. Het gaat om bewijs.

Wanneer er een nieuwe exploit verschijnt, doorzoeken scanners binnen enkele minuten het internet. Zodra aanvallers voet aan de grond krijgen, volgen zijwaartse bewegingen vaak net zo snel. Als je besturing niet is getest aan de hand van de exacte speltechnieken, ben je niet aan het verdedigen, maar hoop je dat de zaken niet serieus verlopen.

Daarom wordt de druk al lang voordat er een incidentrapport wordt geschreven, opgebouwd. Op hetzelfde moment dat een exploit op Twitter terechtkomt, wil een directiekamer antwoorden. Zoals een spreker het verwoordde: ‘Je kunt niet tegen het bestuur zeggen: ‘Ik heb volgende week een antwoord.’ We hebben uren, geen dagen.”

BAS is zijn compliancewortels ontgroeid en is de dagelijkse spanningstest van cyberbeveiliging geworden, de stroom die je door je stack laat lopen om te zien wat er werkelijk in zit.

Dit artikel is geen pitch of walkthrough. Het is een samenvatting van wat er op het podium gebeurdein essentie, hoe BAS is geëvolueerd van een jaarlijkse checkbox-activiteit naar een eenvoudige en effectieve alledaagse manier om te bewijzen dat uw verdediging daadwerkelijk werkt.

Beveiliging gaat niet over ontwerp, het gaat over reactie

Decennia lang werd veiligheid behandeld als architectuur: ontwerp, bouwen, inspecteren, certificeren. Een checklistbenadering gebaseerd op plannen en papierwerk.

Aanvallers hebben echter nooit met dat plan ingestemd. Ze behandelen verdediging als natuurkunde, waarbij ze voortdurende druk uitoefenen totdat iets buigt of breekt. Het maakt hen niet uit wat de blauwdruk zegt; het maakt hen uit waar de structuur faalt.

Pentests doen er nog steeds toe, maar het zijn momentopnamen in beweging.

BAS veranderde die vergelijking. Het certificeert een ontwerp niet; het stresstests de reactie. Het voert veilig, gecontroleerd vijandig gedrag uit in live-omgevingen om te bewijzen of verdedigingen daadwerkelijk reageren zoals ze zouden moeten of niet.

Zoals Chris Dale, hoofdinstructeur bij SANS, uitlegt: Het verschil is mechanisch: BAS-metingen reactieniet potentieel. Het vraagt ​​niet, “Waar zitten de kwetsbaarheden?” Maar ‘Wat gebeurt er als we ze raken?’

Omdat je uiteindelijk niet verliest als er een inbreuk plaatsvindt, je verliest wanneer de impact van die breuk landt.

Echte verdediging begint met het kennen van jezelf

Voordat je de vijand emuleert/simuleert, moet je jezelf begrijpen. Je kunt niet verdedigen wat je niet ziet: de vergeten assets, de niet-gelabelde accounts, het oude script dat nog steeds draait met domeinbeheerdersrechten.

sıla-blog-video-1_1920x1080.mp4

Ga dan uit van een breuk en werk achteruit vanuit de uitkomst waar je het meest bang voor bent.

Nemen Akirabijvoorbeeld een ransomwareketen die back-ups verwijdert, PowerShell misbruikt en zich via gedeelde schijven verspreidt. Herhaal dat gedrag veilig in uw omgeving en u zult leren, en niet raden, of uw verdediging het halverwege kan doorbreken.

Twee principes onderscheiden volwassen programma’s van de rest:

  • Resultaat eerst: begin vanuit impact, niet vanuit inventaris.
  • Standaard paars: BAS is geen rood-tegen-blauw-theater; het is hoe informatie, techniek en operaties samenkomen: simuleren → observeren → afstemmen → opnieuw simuleren.

Zoals John Sapp, CISO bij Texas Mutual Insurance opmerkte: “teams die van validatie een wekelijks ritme maken, beginnen bewijs te zien waar ze vroeger aannames zagen.”

Het echte werk van AI is curatie, niet creatie

AI was dit jaar overal, maar het meest waardevolle inzicht ging niet over macht, maar over terughoudendheid. Snelheid is belangrijk, maar herkomst is belangrijker. Niemand wil een LLM-model dat payloads improviseert of het doen van aannames over aanvalsgedrag.

Voorlopig is de nuttigste vorm van AI in ieder geval niet degene die dat is creëerthet is degene die organiseertwaarbij rommelige, ongestructureerde dreigingsinformatie wordt omgezet in iets dat verdedigers daadwerkelijk kunnen gebruiken.

sıla-blog-video-2_1920x1080.mp4

AI gedraagt ​​zich nu minder als een enkel model en meer als een estafette van specialistenelk met een specifieke taak en een controlepunt ertussen:

  • Planner — definieert wat er moet worden verzameld.
  • Onderzoeker — verifieert en verrijkt dreigingsgegevens.
  • Bouwer — structureert de informatie in een veilig emulatieplan.
  • Validator – controleert de betrouwbaarheid voordat er iets wordt uitgevoerd.

Elke agent beoordeelt de laatste, waardoor de nauwkeurigheid hoog en het risico laag blijft.

Eén voorbeeld vatte het perfect samen:

“Geef mij de link naar de Fin8-campagne, en ik zal je de MITRE-technieken laten zien waarop deze betrekking heeft, in uren, niet in dagen.”

Dat is niet langer ambitieus, het is operationeel. Wat ooit een week van handmatige kruisverwijzingen, scripting en validatie kostte, past nu in één werkdag.

Headline → Emulatieplan → Veilig uitvoeren. Niet flitsend, gewoon sneller. Opnieuw, uren, geen dagen.

Bewijs uit de praktijk laat zien dat BAS werkt

Een van de meest verwachte sessies van het evenement was een live showcase van BAS in echte omgevingen. Het was geen theorie, het was operationeel bewijs.

Een zorgteam voerde ransomware-ketens uit die waren afgestemd op informatie over sectorbedreigingen, en meette tijd om te detecteren En tijd om te reagerenwaardoor gemiste detecties worden teruggevoerd naar SIEM- en EDR-regels totdat de keten voortijdig kapot ging.

Een verzekeringsmaatschappij demonstreerde weekend-BAS-pilots om te verifiëren of eindpuntquarantaines daadwerkelijk werden geactiveerd. Deze runs brachten stille misconfiguraties aan het licht lang voordat aanvallers dat konden.

De conclusie was duidelijk:

BAS maakt al deel uit van de dagelijkse beveiligingsoperaties, geen laboratoriumexperiment. Als het leiderschap vraagt, “Zijn wij hiertegen beschermd?” het antwoord komt nu voort uit bewijsmateriaal, niet uit meningen.

Validatie verandert ‘patch alles’ in ‘patch wat er toe doet’

Een van de scherpste momenten van de top kwam toen de bekende bestuursvraag opdook: “Moeten we alles patchen?”

Het antwoord was onbeschaamd duidelijk: Nee.

sıla-blog-video-3_1920x1080.mp4

BAS-gestuurde validatie bewees dat alles patchen is niet alleen onrealistisch; het is onnodig.

Het gaat erom te weten welke kwetsbaarheden er zijn feitelijk exploiteerbaar in uw omgeving. Door kwetsbaarheidsgegevens te combineren met live controleprestaties kunnen beveiligingsteams zien waar het echte risico zich concentreert, en niet waar een scoresysteem zegt dat het zou moeten.

Je moet niet alles patchen’ zegt Volkan Ertürk, medeoprichter en CTO van Picus. “Maak gebruik van controlevalidatie om een ​​geprioriteerde lijst met blootstellingen te krijgen en focus op wat echt voor u exploiteerbaar is.”

Een CVSS 9.8 afgeschermd door gevalideerde preventie en detectie kan weinig gevaar met zich meebrengen, terwijl een middelzware fout op een blootgesteld systeem een ​​live aanvalspad kan openen.

Die verschuiving, van het patchen op basis van aannames tot het patchen van bewijsmateriaalwas een van de bepalende momenten van het evenement. BAS vertelt het je niet wat is er overal mis; het vertelt je wat kan je hier pijn doenwaarmee Continuous Threat Exposure Management (CTEM) van theorie in strategie wordt omgezet.

Je hebt geen moonshot nodig om te beginnen

Een andere belangrijke conclusie van de leiders van Picus-beveiligingsarchitectuur, Gürsel Arıcı en Autumn Stambaugh, was dat BAS vereist geen grootschalige uitrol; het hoeft alleen maar om te beginnen.

Teams begonnen zonder poespas of ophef en bewezen waarde in weken, niet in kwartalen.

  • De meesten kozen een of twee scopes, financiële eindpunten of een productiecluster, en brachten de controles in kaart die deze beschermden.
  • Vervolgens kozen ze voor een realistisch resultaat, zoals gegevensversleuteling, en bouwden ze de kleinste TTP-keten die dit mogelijk zou maken.
  • Voer het veilig uit, kijk waar preventie of detectie faalt, herstel wat belangrijk is en voer het opnieuw uit.

In de praktijk versnelde die lus snel.

Tegen week drieDoor AI ondersteunde workflows waren al bezig met het vernieuwen van informatie over dreigingen en het regenereren van veilige acties. In week vier werden gevalideerde controlegegevens en bevindingen over kwetsbaarheden samengevoegd tot blootstellingsscorekaarten die leidinggevenden in één oogopslag konden lezen.

Het moment waarop een team een ​​gesimuleerde kill-keten halverwege de run zag stoppen vanwege een regel die de dag ervoor is verzondenAlles klikte, BAS was niet langer een project en werd onderdeel van hun dagelijkse beveiligingspraktijk.

BAS werkt als het werkwoord binnen CTEM

Het Continuous Threat Exposure Management (CTEM)-model van Gartner: “Beoordeel, valideer, mobiliseer” werkt alleen als de validatie continu, contextueel en gekoppeld aan actie is.

Dit is waar BAS nu woont.

Het is geen op zichzelf staand hulpmiddel; het is de motor die CTEM eerlijk houdt, de blootstellingsscores voedt, de controle-engineering stuurt en de wendbaarheid in stand houdt terwijl zowel uw technische stapel als de dreigingsoppervlakte verschuiven.

De beste teams voeren validatie als een hartslag uit. Elke verandering, elke patch, elke nieuwe CVE veroorzaakt een nieuwe impuls. Dat is wat continue validatie eigenlijk betekent.

De toekomst ligt in het bewijs

Vroeger berustte veiligheid op geloof. BAS vervangt geloof door bewijs, waarbij elektrische stroom door je verdediging loopt om te zien waar het circuit faalt.

AI brengt snelheid. Automatisering brengt schaalgrootte. Validatie brengt waarheid. BAS is niet meer de manier waarop je over beveiliging praat. Het is maar hoe je het bewijst.

Wees een van de eersten die kennis maakt met AI-aangedreven dreigingsinformatie. Verkrijg nu uw vroege toegang!

Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Sila Ozeren Hacioglu, Security Research Engineer bij Picus Security.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google heeft zojuist zijn eigen monopolie verbroken – dankzij Epic Games

Zuckerberg zegt dat Meta je feed zal overspoelen met meer AI-inhoud

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]