Елена Полякова (Positive Technologies) про PT Dephaze

В начале года Positive Technologies представила новый продукт для автоматического тестирования на проникновение — PT Dephaze. О том, что такое автопентест, чем он отличается от классических систем класса breach and attack simulation (BAS) и какая функциональность нужна в таких продуктах, обсудили с Еленой Поляковой, менеджером продуктового маркетинга Positive Technologies.

В начале этого года Positive Technologies анонсировала продукт PT Dephaze. К какому классу относится ваше новое решение?

С помощью PT Dephaze компании могут проверить защищенность от атак хакерских группировок. Он тестирует внутреннюю инфраструктуру на проникновение, как уже привычно вручную это делают пентестеры, но автоматически, тем самым масштабируя область проверки и расширяя вариативность векторов атак. Решения такого класса выросли из продуктов класса BAS (breach and attack simulation). Они позволяют провести симуляцию атаки на инфраструктуру с помощью последовательности «вредоносных» действий на всех ее стадиях, применяя набор различных хакерских техник. Традиционные решения класса BAS моделируют заранее подготовленные сценарии атак, но не умеют имитировать реальное поведение злоумышленников и проводить полноценные атаки в инфраструктуре. Наш продукт — это больше чем BAS, это BAS с автоматическим принятием решений на основе получаемых данных об инфраструктуре. Он дает объективные данные о состоянии безопасности и при этом не требует длительных процедур по пилотированию и внедрению.

Существует и отдельное определение для продуктов, которые выполняют автоматизированный пентест. На английском языке они так и называются — automated pentesting (APT). Кроме того, Gartner в своем отчете «Gartner Hype Cycle for Security Operations» в 2024 году выделил новый класс — adversarial exposure validation (AEV). AEV включает в себя и BAS, и системы для автопентеста, и даже red teaming. Главная задача этих решений — поиск проблем в безопасности ИТ-инфраструктуры.

В чем основное отличие вашего решения от систем класса breach and attack simulation?

Оно не просто проводит симуляцию или моделирование, а реально тестирует инфраструктуру, используя инструментарий пентестеров, но делает это в автоматическом режиме. Классические системы класса BAS перед реализацией цепочки атаки или атомарной атаки требуют установки на агенты и только после этого могут запустить проверку. Наш продукт не требует установки агентов на узлах, а проводит внутреннее тестирование с использованием тех практик, которые используют настоящие хакеры. Он сам выбирает, каким образом реализовать сценарий атаки и какое дальнейшее действие необходимо предпринять для демонстрации того ущерба, который потенциально может нанести злоумышленник.

Каковы особенности нового ПО, которое вы представили?

В первую очередь это набор уникальной экспертизы: с ее помощью продукт находит те слабые места в защите, которыми с большой вероятностью смогут воспользоваться злоумышленники. Продукт использует базу знаний Positive Technologies как в offensive, так и defensive security, чтобы всегда достигать цели — находить уязвимые места в защите и давать рекомендации по ее улучшению.

Кроме того, здесь не будет больших отчетов на сотни листов с полученными векторами компрометации, в которых сложно ориентироваться и на изучение которых нужно много времени. Наоборот, на выходе будет понятный отчет с рекомендациями по устранению ошибок конфигурации и выявленных уязвимостей. С его помощью можно оперативно ликвидировать обнаруженные проблемы и обозначить службе ИБ варианты мониторинга подобной нелегитимной активности в средствах защиты информации.

Есть и преимущества на уровне разработки: основа продукта — гибкое масштабируемое технологическое ядро, которое позволяет точно имитировать действия реальных хакерских группировок и получать привилегии в критически важных для бизнеса системах.

Насколько безопасно применение этого решения в корпоративной инфраструктуре и какие меры предусмотрены для предотвращения нежелательных последствий?

На этапе создания наша команда разработки много общалась с клиентами и партнерами. Мы выясняли, что же важно для тех, кто будет использовать продукт. И оказалось, что в первую очередь всех беспокоит вероятность неконтролируемого взлома инфраструктуры. Из этого мы сделали вывод, что безопасность тестирования — это то, на чем нужно фокусироваться при разработке. Поэтому PT Dephaze работает в полностью контролируемом режиме, обеспечивая управляемый пентест, который минимизирует риски от атак. Все действия, которые потенциально могут причинить реальный вред, требуют отдельного согласия пользователя системы на дальнейшее развитие «атаки». Безопасность реализована и с помощью расширенных параметров атаки, где есть выбор узлов и возможность исключить те, которые тестировать нельзя. Кроме того, продукт позволяет настроить интенсивность атак, например для того, чтобы снизить нагрузку на сеть или изменить количество одновременных подключений к контроллеру домена.

Какие реальные хакерские техники и инструменты используются в симуляциях и как они помогают повысить эффективность тестирования?

Чтобы нагляднее всего продемонстрировать инструментарий злоумышленников, можно использовать фреймворк матрицы MITRE ATT&CK. Специально к запуску продукта на нашем сайте было опубликовано покрытие им приведенных тактик и техник. Мы следим за действиями хакерских группировок, выявляем инструментарий, которым пользуются злоумышленники, и добавляем его в виде экспертизы в продукт. Так компании смогут увидеть свою реальную киберустойчивость и оценить, перед какими векторами атак они защищены, а какие являются реальной угрозой для безопасности их инфраструктуры.

Какие требования предъявляются к специалистам, работающим с этим инструментом, и необходима ли специальная подготовка для его эффективного использования?

Дополнительная квалификация специалиста не требуется — интерфейс прост и интуитивно понятен. Сам процесс полностью автоматизирован (например, не нужно знать, какой потенциальный ущерб может нанести атака, чтобы ее согласовать, — об этом предупредит продукт). Сформированные по результатам тестирования отчеты упрощают работу с выходными данными и помогают принять решения по тем местам в безопасности, на исправлении которых необходимо сосредоточить ресурсы в первую очередь.

Мы видим, что продукт интересен как службам ИБ компаний, так и командам, которые сами проводят тестирование на проникновение, независимо от того, находятся ли эти команды внутри организации или это внешние пентестеры. Можно значительно сократить время на рутинные задачи пентеста и сосредоточиться на проверке сложных и глубоких векторов атак, которые можно делать только вручную специалистам с высокой квалификацией.

Какие рекомендации вы даете компаниям по частоте и методам использования данного инструмента для поддержания высокого уровня киберзащищенности?

На самом деле, четких требований или регламентов по регулярности тестирования безопасности с помощью подобных инструментов нет. Мы рекомендуем ориентироваться на частоту обновления активов. По данным нашего исследования, около 80% компаний, независимо от их размера, добавляют или исключают активы (серверы, сетевые устройства, ПО, системы управления БД, а также различные виды конфиденциальных данных) как минимум раз в квартал. Это сильно меняет инфраструктуру и может влиять на кибербезопасность. Соответвенно, и проверка защищенности должна проводиться так же часто, как изменяется инфраструктура: любое изменение провоцирует появление дополнительных уязвимостей и незащищенных мест, которые могут быть использованы для проведения атак. По нашему опыту, оптимально развертывать атакующие узлы в каждом сегменте, который хотелось бы проверить, и по очереди начинать запускать атаки в каждом из них. После тестирования и внесения исправлений следует запускать повторные проверки.

Как вы планируете развивать и совершенствовать продукт в будущем?

Мы стараемся ориентироваться на потребности наших клиентов. Нам важно развивать полезный продукт для оценки защищенности, поэтому много внимания мы уделяем сбору обратной связи, на основе которой планируем, разрабатываем и внедряем новую функциональность. Основной фокус PT Dephaze на этот год — это регулярное обновление экспертизы, чтобы компании могли проверять множество вариаций атак, популярных у злоумышленников. Другое направление — это безопасность инфраструктуры клиентов при использовании продукта. Ну и, конечно, постоянно расширяем использование технологий машинного обучения, чтобы процесс автоматического пентеста проходил еще эффективнее.