Picus Security: Automatiserad pentestning ersätter inte BAS

Cybersäkerhetsföretaget Picus Security har publicerat en analys där de uppger att automatiserad penetrationstestning (pentestning) inte kan ersätta Breach and Attack Simulation (BAS). Enligt företaget fokuserar automatiserad pentestning på att validera attackvägar, medan BAS verifierar om befintliga försvarsåtgärder faktiskt blockerar hot.

Picus Security menar att leverantörer av automatiserad pentestning marknadsför den som en ersättning för BAS, med hänvisning till dess förmåga att autonomt kedja ihop sårbarheter och kartlägga attackvägar. Företaget påpekar dock att detta argument ignorerar verktygens grundläggande skillnader. Automatiserad pentestning bevisar att en angripare kan ta sig från punkt A till punkt B, men ger ingen insikt i hur försvaret fungerar.

Plattformar för attacksimulering (BAS) emulerar kontinuerligt verkliga attacktekniker och testar om brandväggar, EDR-system, SIEM-regler och andra säkerhetsverktyg blockerar eller upptäcker dem. Viktigt är att varje simulering körs oberoende, vilket säkerställer att misslyckanden som förblir oupptäckta inte leder till ytterligare åtgärder.

Enligt Picus Security genererar endast 14 procent av loggad fientlig aktivitet en varning, och endast 3 procent av exfiltrationsförhindrande försök lyckas. Utan BAS förblir dessa misslyckanden osynliga, menar företaget. Inte ens AI-drivna pentestningslösningar löser denna lucka, eftersom de inte ökar synligheten av försvarsmekanismernas funktion.

Företaget rekommenderar användningen av båda verktygen: automatiserad pentestning för att säkerställa attackdjup och BAS för att testa försvarets bredd. Att integrera dessa genom ett intelligenslager möjliggör en helhetssyn inom säkerhetshantering.