Co vlastně je Adversary emulation neboli emulace chování protivníka? Je to proces, který využívá techniky, taktiky a procedury (TTPs) protivníka obohacené o Cyber Threat Inteligence (CTI) k tomu, aby byl vytvořen bezpečnostní test, který je založen na reálných útocích nebo kampaních.

Tolik jednoduchá a krátká definice, ale Adversary emulation dělá více než jenom, že pomáhá s porozuměním jednotlivých technik, taktik a procedur potencionálních protivníků. Na rozdíl od penetračních testů nebo testů na zranitelnosti netestuje cílové systémy nebo aplikace, ale obránce. Tedy jaká je jejich připravenost na tyto typy útoků, a především chování v rámci prostředí. Emulace útočníka také umožňuje obráncům stanovit priority hrozeb.

Úspěšná emulace není akcí jednoho uživatele nebo jedné skupiny. Je spíše aktivitou, kterou provádí v podstatě všechny skupiny kybernetické bezpečnosti. Zvláště důležitým týmem je však cyber threat intelligence a red team. V malých organizacích je pak zřejmé, že tyto týmy zastávají jedinci nebo jsou suplovány nákupem různých feedů nebo externích služeb. Všechny tyto složky pak komunikují a spolupracují se SOC a manažementem na specifikaci jaký útok reálně organizaci hrozí (Bránit vše znamená nebránit vůbec – prioritizace). Red Team pak poskytuje svůj tradecraft a dovednosti ke spuštění emulace.

V minulosti byl problém sestavit dobrý emulační plán a jeho jednotlivé kroky. I když se objevovalo více a více odborných článků a rozborů na téma advanced persistent threat, byl to vlastně až Att&ck framework, který umožnil operátorům realizovat a mapovat emulační plány a podstatně urychlit jejich tvorbu a správu. Adversary emulation podporuje také jiné open source nebo komerční nástroje, ale o těch až zase někdy příště.

Aktivita Adversary emulation je součástí Active defense Gray zone.

Nicméně o Att&ck framework příště v našem seriálu ´Att&ck works´.