Picus Security: Automaattinen pentestaus ei korvaa uhkien simulointia

Kyberturvallisuusalan yritys Picus Security on julkaissut analyysin, jossa se toteaa, että automaattinen pentestaus ei voi korvata uhkien simulointialustoja (Breach and Attack Simulation, BAS). Yrityksen mukaan automaattinen pentestaus keskittyy hyökkäyspolkujen todentamiseen, kun taas BAS vahvistaa, estävätkö olemassa olevat puolustusmekanismit todella uhat.

Picus Securityn mukaan automaattisen pentestauksen myyjät markkinoivat sitä BAS:n korvaajana, vedoten kykyyn ketjuttaa haavoittuvuuksia ja edetä järjestelmissä itsenäisesti. Yritys kuitenkin huomauttaa, että tämä väite jättää huomiotta työkalujen perustavanlaatuiset erot. Automaattinen pentestaus todistaa, että hyökkääjä voi päästä pisteestä A pisteeseen B, mutta se ei anna tietoa siitä, toimiiko puolustus.

Uhkien simulointialustat (BAS) emuloivat jatkuvasti todellisia hyökkäystekniikoita ja testaavat, estävätkö tai havaitsevatko palomuurit, EDR-järjestelmät, SIEM-säännöt ja muut turvallisuustyökalut ne. Tärkeää on, että jokainen simulaatio suoritetaan itsenäisesti, jolloin epäonnistumiset havaitsematta jäävät ilman toimenpiteitä.

Picus Securityn mukaan vain 14 prosenttia lokitetusta vihamielisestä toiminnasta tuottaa hälytyksen, ja vain 3 prosenttia eksfiltraation estoyrityksistä onnistuu. Ilman BAS:ia nämä epäonnistumiset jäävät yrityksen mukaan huomaamatta. Tekoälypohjaisetkaan pentestausratkaisut eivät ratkaise tätä kuilua, sillä ne eivät lisää näkyvyyttä puolustusmekanismien toimintaan.

Yritys suosittelee molempien työkalujen käyttöä: automaattista pentestausta hyökkäyssyvyyden varmistamiseksi ja BAS:ia puolustuksen laajuuden testaamiseksi. Näiden yhdistäminen älykkyyskerrokseen mahdollistaa kokonaisvaltaisen turvallisuuden hallinnan.