การจำลองการละเมิดและการโจมตี (BAS)หมายถึงเทคโนโลยีที่ช่วยให้องค์กรสามารถทดสอบการป้องกันความปลอดภัยของตนต่อการโจมตีทางไซเบอร์ จำลอง โซลูชัน BAS ให้การประเมินอัตโนมัติที่ช่วยระบุจุดอ่อนหรือช่องโหว่ในสถานะความปลอดภัยขององค์กร^{[ 1 ]}

เครื่องมือ BAS ทำงานโดยการจำลองการโจมตีต่อ โครงสร้างพื้นฐานและสินทรัพย์ ด้านไอที ขององค์กร การจำลองการโจมตีเหล่านี้ได้รับการออกแบบมาเพื่อเลียนแบบภัยคุกคามและเทคนิคในโลกแห่งความเป็นจริงที่ อาชญากรไซเบอร์ ใช้ การจำลองจะทดสอบความสามารถขององค์กรในการตรวจจับ วิเคราะห์ และตอบสนองต่อการโจมตี หลังจากดำเนินการจำลองแล้ว แพลตฟอร์ม BAS จะสร้างรายงานที่เน้นพื้นที่ที่การควบคุมความปลอดภัยล้มเหลวในการหยุดยั้งการจำลองการโจมตี^{[ 1 ]}

องค์กรต่างๆ ใช้ BAS เพื่อตรวจสอบว่าการควบคุมความปลอดภัยทำงานตามที่ตั้งใจไว้หรือไม่ การทดสอบ BAS บ่อยครั้งช่วยกำหนดมาตรฐานความปลอดภัยเมื่อเวลาผ่านไป และทำให้มั่นใจได้ว่ากระบวนการตอบสนองต่อเหตุการณ์ที่เหมาะสมนั้นมีอยู่แล้ว การทดสอบ BAS เสริมการประเมินความปลอดภัยอื่นๆ เช่นการทดสอบการเจาะระบบและการสแกนช่องโหว่โดยเน้นที่การตรวจสอบการควบคุมความปลอดภัยมากกว่าการค้นหาข้อบกพร่องเพียงอย่างเดียว ลักษณะอัตโนมัติของ BAS ช่วยให้สามารถทดสอบได้กว้างขวางและสม่ำเสมอกว่า การฝึกซ้อม ทีมแดง แบบแมนนวล BAS มักเป็นส่วนหนึ่งของโปรแกรมการจัดการการเปิดเผยภัยคุกคามอย่างต่อเนื่อง (CTEM) ^{[ 1 ] [ 2 ]}

ตลาด BAS ได้พัฒนาไปสู่แพลตฟอร์มการตรวจสอบความปลอดภัยอัตโนมัติที่ให้ความสำคัญกับการจำลองการโจมตีในโลกแห่งความเป็นจริงมากกว่าเพลย์บุ๊กแบบคงที่ที่กำหนดไว้ล่วงหน้า การใช้งานที่ทันสมัย ​​เช่นที่ Pentera ให้บริการ ใช้แนวทางแบบไร้เอเจนต์เพื่อจำลองห่วงโซ่การโจมตีที่สมบูรณ์ทั้งภายในและภายนอก^{[ 3 ]}แพลตฟอร์มเหล่านี้มุ่งเน้นไปที่การระบุ "สิ่งที่ไม่รู้จัก" โดยการคำนวณเส้นทางการโจมตีที่เป็นไปได้แบบไดนามิกตามสถานะแบบเรียลไทม์ของโครงสร้างพื้นฐานด้านไอที การเปลี่ยนแปลงนี้แสดงถึงการเปลี่ยนจากแบบจำลองที่เน้นช่องโหว่ไปสู่กลยุทธ์ที่เน้น "การเปิดเผย" ซึ่งออกแบบมาเพื่อรับมือกับภัยคุกคามแบบไดนามิกภายในสภาพแวดล้อมที่ซับซ้อน^{[ 4 ] [ 5 ]}

คุณสมบัติหลักของเทคโนโลยี BAS ได้แก่: ^{[ 1 ]}

• การทดสอบอัตโนมัติ: สามารถตั้งเวลาให้การจำลองทำงานซ้ำๆ ได้โดยไม่ต้องมีการควบคุมดูแลด้วยตนเอง
• การจำลองภัยคุกคาม : การจำลองถูกออกแบบโดยอิงจากกลยุทธ์ เทคนิค และขั้นตอนการปฏิบัติของ ฝ่ายตรงข้ามในความเป็นจริง
• การครอบคลุม พื้นที่การโจมตี : สามารถทดสอบสินทรัพย์ทั้งภายในและภายนอกองค์กรได้
• การตรวจสอบความถูกต้องของการควบคุมความปลอดภัย: ผสานรวมกับเครื่องมือรักษาความปลอดภัยอื่นๆ เพื่อทดสอบประสิทธิภาพ
• การรายงาน: ระบุจุดอ่อนและจัดลำดับความสำคัญของมาตรการแก้ไข

กรณีการใช้งานการจำลองการโจมตีระบบขนาดใหญ่ ได้แก่:

การทดสอบ BAS บ่อยครั้งช่วยให้มั่นใจได้ว่าการควบคุมความปลอดภัย เช่นไฟร์วอลล์และการตรวจจับปลายทางยังคงได้รับการกำหนดค่าอย่างถูกต้องเพื่อตรวจจับภัยคุกคามที่แท้จริง การเปลี่ยนแปลงอย่างต่อเนื่องของเครือข่ายและระบบอาจทำให้เกิดการกำหนดค่าที่ไม่ถูกต้องหรือช่องโหว่ที่การทดสอบ BAS เปิดเผย โซลูชันหลายอย่างให้ความสามารถในการเปรียบเทียบเครื่องมือซอฟต์แวร์ต่างๆ ที่นำมาใช้หรือซื้อมา และประเมินว่าเครื่องมือใดมีประสิทธิภาพมากกว่า^{[ 6 ]}การจำลองเป็นประจำยังช่วยปรับปรุงการตอบสนองต่อเหตุการณ์โดยการฝึกอบรมบุคลากรด้านความปลอดภัย^{[ 7 ]}

BAS แบบวนซ้ำช่วยเพิ่มประสิทธิภาพการตรวจจับและเวลาตอบสนอง ช่วยให้ทีมปรับแต่งเครื่องมือตรวจสอบและปรับปรุงกระบวนการ นอกจากนี้ยังสามารถจัดลำดับความสำคัญของการแก้ไขช่องโหว่ได้ดีขึ้นโดยพิจารณาจากความสามารถในการโจมตีที่สังเกตได้ แทนที่จะพิจารณาแค่ความรุนแรงของ CVSS เพียงอย่างเดียว ^{[ 7 ]}

BAS จำลองเทคนิคการโจมตีแบบเต็มรูปแบบเพื่อเตรียมการป้องกันภัยคุกคามจริง การแมปการจำลองไปยังเฟรมเวิร์กเช่น MITRE ATT&CKตรวจสอบความพร้อมต่อพฤติกรรมของฝ่ายตรงข้ามที่รู้จัก แม้ว่าจะไม่ละเอียดเท่ากับการทดสอบทีมแดงแต่ BAS ก็สามารถวัดประสิทธิภาพความยืดหยุ่นได้อย่างรวดเร็ว^{[ 7 ]}

• ทีมสีแดง
• การทดสอบการเจาะทะลุ