著者: Sila Ozeren Hacioglu、Picus Security セキュリティ研究エンジニア
これはセキュリティコミュニティが良く知っているストーリーです。新しい自動化されたペネトレーションテストツールを導入して、最初の「実行」は啓示的です。ダッシュボードが重大な発見で点灯し、以前は存在しないと思っていた横展開パスが表示され、レガシーサービスアカウントに関連する「ひっかかった!」という瞬間が生じます。
レッドチームは力の倍増器を見つけたように感じます。CISOは最後にセキュリティの「人間的要素」を自動化したと感じています。
しかし、その後甘い期間は終わります。
平均して、4回目または5回目の実行までに、「新しい」発見は枯れ果てます。ツールは同じ古い問題を報告し始め、かつてのピカピカなダッシュボードは単なるノイズを配信する別の画面になります。これは単なる活動の低下ではなく、検証ギャップです。つまり、組織が実際に検証するものと検証済みとして報告するものの間の距離が広がっています。
自動化されたペネトレーションテストツールが過度な約束をして過小な成果を提供しているように感じ始めたのであれば、あなたは市場のシフトを経験しています。業界は、自動化されたペネトレーションテストは強力な機能である一方、それが単独で使用されるときは急速に危険な戦略になることに気づき始めています。
POC崖:発見が消えるところ
この最初の実行で興奮し、4回目までに大幅に収益性が低下するパターンは、逸話ではありません。
セキュリティプラクティショナーはこれをPoC(概念実証)崖と呼んでいます。ツールが固定スコープを使い果たしたら、新しい発見の量が急落することです。これはチューニング問題ではありません。
デザイン上、自動化されたペネトレーションテストソリューションは最初の実行で最良の結果を提供します。数サイクル以内に、それらのスコープ内で搾取可能なパスは枯れ果てます。しかし、これはあなたの環境が安全であることを意味しません。これは、ツールがその限界に達した一方で、より深い問題がまだテストされていないことを意味するだけです。
これは決定論的なサーフェスに対して動作するツールの構造的な天井です。これは運用上の制限ではなく、アーキテクチャ上の制限です。
自動化されたペネトレーションテストはそのステップをチェーンします。ステップBはステップAに依存し、ステップCはステップBに依存します。ツールが好むすべての特定パスにパッチを当てたら、ステップAでブロックされ、ステップBからZは実行されません。ツールは20の横展開技術をテストできるかもしれませんが、チェーンの早い段階でキャッチされると、それらの技術は闇のままです。「ミッション完了」という錯覚を得ながら、あなたの攻撃サーフェスの残りの部分は調査されないままです。
これは侵害とアタックシミュレーション(BAS)が明確な線を引くところです。
BASはチェーンしません。それは数千の独立した原子的シミュレーションを実行します。各技術は独自のクリーンな実行を取得します。ブロックされたDNS上の流出テストは、次のHTTPS上の流出テストをテストするのを防ぎません。失敗した横展開技術は、他の19個をテストするのを止めません。
一つはパスをテストします。もう一つはシールドをテストします。
一つのツールがパスを見つけます。Picusが残りの5つのサーフェスをテストします。
自動化されたペネトレーションテストは攻撃パスをマッピングします。Picusは他の5つのサーフェスを検証します:検出ルール、予防制御、アイデンティティ、クラウド、およびAI。
既存のツールからの発見は、1つの優先付けられたキューに正規化されます。置き換えはありません。ライブで確認してください。
空気をクリアする:BAS対自動化ペネトレーションテスト
POC崖の「理由」をより良く理解するために、業界で増加しているポイントの混乱に対処する必要があります。侵害とアタックシミュレーション(BAS)と自動化されたペネトレーションテストは検証の広い目標を共有していますが、それらは異なる質問に答えるために異なる方法を使用しています。
BASを一連の独立した測定と考えてください。それは継続的かつ安全に敵対的な技術、マルウェアペイロード、横展開、および流出をエミュレートして、あなたの特定のセキュリティ制御(ファイアウォール、WAF、EDR、SIEM)が実際にそれらの仕事をしているかどうかを確認します。
その主な使命は、あなたの防御が既知の脅威行動をブロックまたはアラートしているかどうかをテストすることです。各テストは防御力のチェックとして独立しています。
自動化されたペネトレーションテストは、対照的に方向性があります。それは脆弱性と設定ミスを実際の攻撃者がするようにチェーンして、より外科的で敵対的なアプローチを取ります。Kerberoastingなど、特権をActive Directoryでエスカレートしてドメイン管理者アカウントに到達するなど、複雑な攻撃パスの露出に優れています。
どちらも「検証方法」と見なされることが多いですが、この2つは根本的に異なるミッションと成果を持っています。一つはあなたの個々の防御がどれほど強いかを教えてくれます。もう一つはそれにもかかわらず攻撃者がどのくらい遠くまで移動できるかを教えてくれます。
「シンプリシティ」トラップ:ペネトレーションテストがBASではない理由
最近、一部のベンダーは自動化されたペネトレーションテストができ、そうすべきだという考えを提案していますBASに取って代わる。紙の上では、それは素晴らしく聞こえます。
実際には、これはアップグレードではなく、単純化として偽装されたカバレッジ回帰です。
見たように、自動化されたペネトレーションテストとBASツールは根本的に異なる質問に答えます。現代的なエンタープライズを保護するには、両方への回答が必要です:
-
BASは次のように尋ねます:「私のファイアウォール、EDR、WAF、およびSIEMは実際にMITRE ATT&CK フレームワーク全体でそれらの仕事をしていますか?」防御制御の有効性に焦点を当てます。
-
自動化されたペネトレーションテストは次のように尋ねます:「攻撃者は既知のエクスプロイトを使用してポイントAからポイントBに到達できますか?」特定の攻撃パスの成功に焦点を当てます。
BAS評価を自動化されたペネトレーションテストと交換すると、予防と検出スタックの検証を停止します。
攻撃者が特定のエクスプロイト経由でデータベースに到達できないことを知っているかもしれませんが、別の非搾取技術を試みた場合、EDRが反応するかどうかについてのゼロの可視性があります。
現代的な攻撃サーフェスの6つの盲点
マーケティング資料が「包括的な」カバレッジを約束している一方で、現実は自動化されたペネトレーションテストが通常インフラストラクチャとアプリケーションパスの表面をかすめるだけだということです。
上記に示すように、2つのサーフェスは自動化されたペネトレーションテストからのカバレッジを受け取りません。4つは最高でも部分的なカバレッジを取得します。単一のサーフェスは完全にカバーされていません。これは6つのうち0つが完全に検証されています。これは、今日の違反が実際に起こっている場所で、大規模な検証ギャップを作成します:
-
ネットワークとエンドポイント制御:エクスプロイトパスは特定されますが、ファイアウォール、WAF、IPS、DLP、またはEDRが実際に設定されている脅威をブロックしているかどうかの確認はありません。制御は無音で失敗し、「設定済み」は「有効」と誤解されます。
-
検出・対応スタック:自動化されたペネトレーションテストには、SIEMルールとEDR検出ロジックが実際に発火するかどうかについての可視性がありません。ツールは攻撃者として実行されるため、防御者を観察できません。検出カバレッジは測定されず、測定されません。
-
インフラストラクチャとアプリケーション攻撃パス:これらのテストはしばしば「POC崖」に当たります。インフラストラクチャパスはマッピングされていますが、複雑なアプリケーションレイアの攻撃チェーンはカバレッジが異なり、多くの場合、敵に対して開いており利用可能です。
-
アイデンティティと特権:既存のパスは横断されますが、Active Directory構成、IAMポリシー、および特権境界の体系的な検証はありません。
-
クラウドとコンテナ環境:動的なKubernetesポリシーとクラウドセキュリティ制御は、設定がドリフトするため、頻繁に暗いままで再検証されません。
-
AI と新興技術:ジェイルブレイク、プロンプト注入、および敵対的操作に対する内部LLMの重要なガードレールは、完全に検証されないままです。
インテリジェンスレイヤー:露出検証と優先順位付け
このクロスカッティングレイヤーはこれらのサイロを統合します。理論的なCVEを実行中のセキュリティ制御パフォーマンスと照合すると、ノイズが大幅に削減され、高度または重大として誤って分類された60%以上の発見が、実際に搾取可能な約10%に削減され、偽の緊急性が80%以上削減され、1つの防御可能で優先付けされたアクションリストを生成します。
質問する必要がある3つの質問
このギャップを理解することは1つのことですが、それを修正するには、検証ベンダーをより高い標準に保つことが必要です。マーケティング誇大広告を切り抜き、ツールが実際に提供するものを見つけるには、すべては3つの基本的な診断質問に蒸留されます。
すべてのベンダーミーティング、すべての更新会話、およびすべての予算レビューにそれらを持参してください。それらは構造的であり、主観的ではないため、機能します。すべての3つに詳細と証拠で答えるツールは真摯な評価に値します。答えることができないツールは、あなたのギャップがどこにあるかをあなたに示しただけです。
-
6つの検証サーフェスのどれがあなたのツールで対象になり、各サーフェス内の範囲は何ですか?
-
あなたのプラットフォームは、特に私の実行中のセキュリティ制御パフォーマンスデータを使用して、搾取可能な脆弱性を理論的なものとどのように区別しますか?
-
あなたのプラットフォームは、他のツールからの発見を1つの重複排除、優先付けされたビューとアクションリストに正規化していますか?
「このサーフェスを検証しないことを選択しました」と「それが検証されていないことに気づきませんでした」の違いは、リスク管理と露出の違いです。
結論
あなたの攻撃サーフェスは、ツールの上にどのベンダーのロゴがあるかを気にしません。
それがテストされているかどうかだけを気にします。現在の自動化されたペネトレーションテスト展開が重大なサーフェスを暗くしておいているなら、戦略を再マップする時間です。
当社の最新プラクティショナーズガイド、検証ギャップ:自動化されたペネトレーションテストだけでは見ることができないもの、あなたが独自のカバレッジを監査し、カバレッジが大幅に減少する場所を診断し、統一検証アーキテクチャを構築するのに必要な完全な診断フレームワークを提供します。
6つのサーフェスから始めます。独自のカバレッジをスコアしてください。あなたのツールが停止する場所を知ることは、次にどこに行くかを決める方法です。
翻訳元: https://www.bleepingcomputer.com/news/security/why-your-automated-pentesting-tool-just-hit-a-wall/
