Picus Security: Automatisierte Penetrationstests können BAS nicht ersetzen

Das Cybersicherheitsunternehmen Picus Security hat eine Analyse veröffentlicht, in der es feststellt, dass automatisierte Penetrationstests Breach and Attack Simulation (BAS) nicht ersetzen können. Das Unternehmen vertritt die Ansicht, dass automatisierte Penetrationstests auf die Validierung von Angriffsvektoren abzielen, während BAS überprüft, ob bestehende Abwehrmaßnahmen Bedrohungen tatsächlich blockieren oder melden.

Picus Security weist darauf hin, dass Anbieter von automatisierten Penetrationstests diese als Ersatz für BAS vermarkten und ihre Fähigkeit hervorheben, Schwachstellen autonom zu verketten und Angriffswege zu kartieren. Das Unternehmen argumentiert jedoch, dass dies grundlegende Unterschiede außer Acht lässt, da automatisierte Penetrationstests den Weg eines Angreifers beweisen, aber keine Einblicke in die Wirksamkeit der Abwehr bieten.

Plattformen für Angriffs- und Verteidigungssimulationen (BAS) emulieren kontinuierlich reale Angriffstechniken und testen, ob Firewalls, EDR-Systeme, SIEM-Regeln und andere Sicherheitstools diese blockieren oder erkennen. Entscheidend ist, dass jede Simulation unabhängig voneinander ausgeführt wird, wodurch sichergestellt wird, dass Fehler unentdeckt bleiben, ohne dass frühere Versuche stören.

Laut Picus Security erzeugt nur 14 % der protokollierten feindlichen Aktivitäten eine Warnung, und nur 3 % der Versuche zur Verhinderung von Exfiltrationen sind erfolgreich. Ohne BAS bleiben diese Fehler laut dem Unternehmen unbemerkt. Selbst KI-gestützte Penetrationstests lösen diese Lücke nicht, da sie keine Sichtbarkeit der Funktionsweise von Abwehrkontrollen hinzufügen.

Das Unternehmen empfiehlt die Verwendung beider Ansätze: automatisierte Penetrationstests für offensive Tiefe und BAS für defensive Breite. Die Integration beider durch eine Intelligenzschicht ermöglicht ein umfassendes Sicherheitsmanagement.