В современном мире, где цифровые технологии развиваются стремительно, количество уязвимостей растет как снежный ком. Это создает серьезные проблемы для традиционных подходов к управлению уязвимостями (Vulnerability Management, VM).

В этой статье мы рассмотрим, как платформа Breach and Attack Simulation (BAS) может помочь автоматизировать проверку и расстановку приоритетов уязвимостей, значительно повышая продуктивность процессов VM. Подробно разберем технические аспекты BAS, варианты их внедрения, интеграцию с текущими процессами VM и покажем примеры применения.

Как развивались решения для оценки уязвимостей: от простого к сложному

Прежде чем говорить о BAS, важно понять, как менялись подходы к оценке безопасности. Это можно увидеть на примере двух основных методов:

  1. Сканирование уязвимостей — автоматический процесс, который находит известные уязвимости (CVE) по их признакам, анализирует и выдает список потенциально эксплуатируемых уязвимостей. Сканирование — хороший способ быстро получить информацию в больших масштабах, но часто он выдает много ложных результатов и не дает ответа на главный вопрос: «можно ли реально использовать эту уязвимость в конкретной ситуации?».

  2. Пентест — активная проверка безопасности, которую проводят эксперты, имитируя действия злоумышленников. Он дает глубокое и контекстное понимание уровня защищенности, позволяет выявить сложные цепочки атак и нестандартные сценарии. При этом пентест отражает состояние безопасности на конкретный момент времени и, в силу своей глубины и экспертизы, требует значительных ресурсов, что ограничивает частоту его проведения и масштабирование. Пентесты  незаменимы и эффективны, однако для задач непрерывной оценки у них есть ограничения: проверки проводятся эпизодически, требуют значительных ресурсов и не обеспечивают постоянного мониторинга. Для восполнения этого пробела и перехода к постоянной проверке безопасности и были созданы платформы BAS, предлагающие принципиально новый подход.

Что такое BAS: краткий обзор

Итак, что же такое BAS? В двух словах, BAS — это технология, которая автоматически и постоянно имитирует кибератаки на инфраструктуру компании, чтобы проверить, насколько хорошо работает защита и оценить реальный риск, связанный с уязвимостями.

Как показывает схема «BAS-платформа: синтез преимуществ», BAS сочетает в себе лучшее от прошлых методов: автоматизированное и масштабное сканирование, как при обычном сканировании уязвимостей, и реалистичную, глубокую проверку, как при пентесте, добавляя при этом ключевые новые возможности: непрерывность, централизованное управление и высокую частоту проверок.

BAS-платформа: синтез преимуществ
BAS-платформа: синтез преимуществ

Главное отличие BAS-платформы  от других методов в том, что она позволяет перейти от теоретической оценки угроз (например, на основе рейтинга CVSS) к реальной проверке. BAS не просто находит уязвимость, а пытается ее использовать, чтобы дать четкий ответ: «эту уязвимость МОЖНО ИСПОЛЬЗОВАТЬ или защита УСПЕШНО БЛОКИРУЕТ эту атаку». Такой подход позволяет перейти от простого перечисления уязвимостей к управлению реальными рисками.

Технические особенности BAS

Далее посмотрим, как устроены платформы BAS, и что они умеют.

Компоненты BAS

Платформа BAS состоит из нескольких основных частей, которые вместе образуют систему автоматического тестирования.

На схеме «Компоненты BAS-платформы» показано, как устроено стандартное решение. Видно, что есть управляющий блок (Центр управления) и рабочие модули (Агенты и Сканеры) — это удобно для развертывания. Главное тут — Модуль сценариев атак. В нем постоянно обновляется список тактик, основанных на свежих угрозах из MITRE ATT&CK.

Компоненты BAS-платформы
Компоненты BAS-платформы

Центр управления — веб-интерфейс для настройки, планирования тестов, просмотра отчетов и аналитики. Здесь можно задавать параметры тестирования, выбирать цели и сценарии атак.

Модуль сценариев атак и симуляций — это сердце системы, которое содержит набор сценариев (плейбуков), имитирующих TTP настоящих злоумышленников, например, взятых из базы MITRE ATT&CK. Эти сценарии могут включать в себя разные техники: использование уязвимостей, фишинг, распространение вирусов.

Агенты и сканеры — ключевые исполнительные компоненты платформы. Агенты — это легкие программы, устанавливаемые на защищаемые активы (серверы, компьютеры) для безопасного выполнения проверок изнутри. Сканеры же (или сенсоры) работают без установки на целевые системы, проводя тестирование через сеть, имитируя внешнего злоумышленника.

Как обычно происходит развертывание BAS

Далее, понимая компоненты, рассмотрим, как происходит развертывание BAS на практике. Обычно рекомендуется следовать четырем основным шагам:

  1. Определение целей: выбор важных активов и сегментов сети для тестирования. Это могут быть серверы с конфиденциальными данными, веб-приложения или другие критически важные компоненты инфраструктуры.

  2. Выбор способа развертывания: установка агентов на целевые системы или настройка доступа к доверенным хостам без агентов.

  3. Настройка политик безопасности: добавление IP-адресов и сигнатур BAS в белые списки систем защиты, чтобы предотвратить их блокировку.

  4. Запуск основных сценариев: первоначальный запуск стандартных сценариев для проверки работы системы и получения базовой оценки безопасности.

Сравнение подходов к развертыванию: с агентом и без агента

При выборе BAS-решения важно определиться со способом проведения проверок: с установкой агентов на системы или удаленно (без агентов). У каждого подхода свои плюсы и минусы, когда речь заходит о глубине, охвате и требованиях к инфраструктуре:

1. Подход с агентами

Плюсы:

  • Более глубокие проверки — агенты могут тестировать то, что требует повышенных прав или доступа к внутренним компонентам.

  • Обход сетевых ограничений — агентам не важны правила сетевых экранов, NAT, они могут тестировать системы даже в изолированных сегментах, не требуя открытия дополнительных портов.

  • Безопасность — агенты хорошо работают с системой, позволяют управлять нагрузкой и снижать вероятность ложных срабатываний защиты.

Минусы:

  • Установка — агенты нужно развернуть и поддерживать на всех системах.

  • Влияние на работу — агенты обычно потребляют минимум ресурсов, но все же могут влиять на нагрузку, особенно при одновременных проверках.

  • Совместимость — не на все устройства можно поставить агенты.

2. Подход без агентов

Плюсы:

  • Быстрый старт — не нужно ничего устанавливать и настраивать, легко начать и масштабировать.

  • Охват всей сети — можно тестировать те устройства, на которые агенты не ставятся.

  • Не влияет на системы — проверки идут извне, что снижает нагрузку на внутренние ресурсы.

Минусы:

  • Неглубокие атаки — удаленные проверки не могут имитировать сложные атаки, требующие доступа изнутри (повышение прав, перемещение по сети).

  • Нужен сетевой доступ — нужно обеспечить соединение с системами, также могут быть проблемы из-за межсетевых экранов, IDS/IPS или сегментации сети.

  • Риск блокировки — сетевые атаки чаще вызывают срабатывание защиты, что может давать ложные результаты.

Что выбрать?

  • Агенты — для глубокого тестирования важных серверов, рабочих станций и внутренних сетей.

  • Без агентов — для быстрой проверки периметра сети, веб-приложений и устройств, куда нельзя поставить агенты.

Пример внутреннего сценария BAS

Чтобы лучше понять принцип работы BAS, рассмотрим, как выглядит проверка одной уязвимости изнутри на конкретном примере:

Цель: проверить уязвимость CVE-2024-12345 на сервере web-srv-01 (Windows Server 2019).

  1. Инициализация. Сценарий BAS получает исходные данные (цель и описание уязвимости).

  2. Подготовка. Сценарий определяет, что CVE-2025-12345 — это удаленное выполнение кода в компоненте ExampleService. Затем готовится эксплойт и безопасная полезная нагрузка для проверки.

  3. Выполнение. Агент на целевом сервере (или сканер) выполняет сценарий:

    - отправляет специально сформированный пакет в ExampleService;

    - пытается запустить команду в контексте уязвимого сервиса (например, записать тестовый файл).

  4. Анализ результата.

    - Успех: файл создан. BAS регистрирует доказательства (скриншоты, журналы, хэши) и устанавливает статус «Эксплуатируется».

    - Неудача: атака заблокирована сетевым экраном. BAS делает вывод, что уязвимость существует, но эксплуатация невозможна, и присваивает статус «НЕ эксплуатируется».

В результате BAS предоставляет отчет, основанный на фактической возможности эксплуатации, что позволяет специалистам сосредоточиться на устранении реальных, а не гипотетических угроз.

Внедрение BAS и создание сценариев

Эффективность BAS напрямую связана с тем, насколько хорошо эти системы понимают возможные угрозы, умеют их воспроизводить и насколько свежая у них информация об этих угрозах. Чтобы BAS работала на полную мощность, обычно используют три подхода, причем не по отдельности, а вместе.

  • Использование готовых библиотек: стартовый набор, который позволяет быстро оценить основные риски. В современных BAS обычно есть сотни готовых сценариев, которые разработчики постоянно обновляют. Эти сценарии составляются на основе известных тактик атак, описанных в базе MITRE ATT&CK, и информации об уязвимостях (CVE). Это дает возможность автоматически проверять, насколько хорошо ваша защита справляется с самыми распространенными и новыми способами атак.

  • Разработка пользовательских сценариев: подход используется, когда нужно проверить, как ваша система защищена от конкретных, уникальных для вас угроз. Например, можно смоделировать атаку на уникальное приложение, которое больше нигде не используется, или на технологическую цепочку, которая есть только у вас.

  • Привязка к жизненному циклу угроз: способ, позволяющий BAS всегда быть в курсе самых актуальных угроз. BAS может автоматически создавать или запускать сценарии, основываясь на информации об угрозах, поступающей из разных источников. Это позволяет автоматически проверять защиту от самых свежих и релевантных тактик злоумышленников.

Интеграция BAS в цикл VM

Теперь, когда мы рассмотрели BAS саму по себе, давайте поговорим о главном — как BAS может быть полезна при интеграции в существующие процессы кибербезопасности. И в первую очередь — в управление уязвимостями.

Ключевая ценность BAS проявляется при интеграции с системами управления уязвимостями. BAS не заменяет сканер, а дополняет его, добавляя этап практической проверки. Схема ниже показывает, как система работает по принципу «отбор → верификация → действие».

Главное тут — проверка риска с помощью BAS. Он как фильтр, который проверяет, насколько можно доверять информации. Так же стоит отметить этап проверки результата, в нем BAS перепроверяет исправления, чтобы убедиться, что все сделано как надо. Получается замкнутая система, где все контролируется.

Интеграция BAS в процессы VM
Интеграция BAS в процессы VM

Схема демонстрирует, как BAS превращает статичный процесс управления уязвимостями в динамический цикл, основанный на подтвержденном уровне риска. Вместо работы с гипотетическими угрозами, команда безопасности действует на основании фактов о реальной эксплуатируемости.

1. Обнаружение и анализ

Сканер регулярно проверяет систему и составляет отчет. Затем проводится анализ отчета, чтобы определить, какие уязвимости требуют более глубокой проработки. Основные критерии отбора — высокий балл CVSS, наличие на важных ресурсах и актуальность риска. Подробный анализ помогает понять, насколько серьезна та или иная угроза.

2. Проверка риска с помощью BAS

Для отобранных уязвимостей запускается проверка в системе BAS. Специальный сценарий имитирует реальную атаку и проверяет, возможно ли использовать уязвимость в текущих условиях. В результате выносится точное заключение, подкрепленное техническими доказательствами.

3. Приоритизация и создание задач

Уязвимости, которые могут быть использованы:

Создаются заявки с высоким или критическим приоритетом. В описание включаются данные из отчета BAS, что позволяет предоставить команде эксплуатации четкое понимание проблемы и необходимые аргументы.

Уязвимости, которые не могут быть использованы:

Приоритет этих уязвимостей снижается. Может быть принято решение об отсрочке исправления, так как существующие меры защиты признаны достаточными. В этом случае, ресурсы можно перенаправить на устранение более важных проблем.

4. Устранение уязвимостей

Задачи по устранению подтвержденных уязвимостей выполняются командами эксплуатации в установленные сроки.

5. Контроль результата и проверка исправления

После получения данных об исправлении проводится обязательная проверка. Запускается повторный тест в BAS, чтобы убедиться, что уязвимость устранена, а не просто помечена как исправленная.

На основе результата этого теста задача либо закрывается, либо возвращается на доработку с соответствующими комментариями. Этот завершающий этап замыкает петлю процесса.

В итоге, интеграция BAS в процесс VM дает следующие ключевые преимущества.

Приоритизация на основе контекста: позволяет отказаться от общих оценок CVSS и перейти к определению приоритетов на основе реальной возможности использования уязвимости в конкретных условиях.

Сокращение информационного шума: фильтрует гипотетические уязвимости, оставляя для исправления только подтвержденные.

Повышение качества задач: устраняет лишние уточнения, позволяет быстрее понять суть проблемы и приступить к ее решению.

Непрерывный контроль: обязательная проверка исправления обеспечивает управляемый процесс с гарантированным результатом.

В конечном итоге, все эти преимущества приводят к изменению объема и характера работы для команд безопасности и эксплуатации. Вместо рутинного просмотра тысяч записей в отчете они получают небольшой список подтвержденных инцидентов, что напрямую повышает эффективность работы.

Наглядно разницу в эффективности демонстрирует сравнительная визуализация жизненных циклов VM.

Сравнение циклов VM и VM с BAS
Сравнение циклов VM и VM с BAS

Как видно из схемы, ключевое изменение — переход от субъективной оценки на основе CVSS к объективной проверке через BAS. BAS выступает как «фильтр достоверности», который устраняет информационный шум и подтверждает актуальность угроз:

В традиционном процессе аналитики безопасности вынуждены вручную анализировать уязвимости, полагаясь на общие баллы CVSS. Это приводит к формированию списков с большим количеством неподтвержденных уязвимостей, создавая высокую нагрузку на команды эксплуатации, которым приходится работать с «шумовыми» данными.

В процессе с BAS система автоматически проверяет, какие уязвимости действительно можно эксплуатировать в текущих условиях. Это позволяет формировать списки только с подтвержденными, актуальными угрозами. В результате команды эксплуатации получают четко сфокусированные задачи, что радикально повышает эффективность работы и снижает операционную нагрузку.

В конечном итоге интеграция BAS с VM позволяет из процесса «сканировать и исправлять всё подряд» выделить целенаправленную стратегию «сканировать → проверять через BAS → исправлять только опасное».

От общего цикла к конкретным сценариям применения

Однако описанный рабочий цикл не является статичным. На практике он гибко адаптируется под различные оперативные задачи, возникающие в процессе управления уязвимостями. BAS становится универсальным инструментом проверки, который можно целенаправленно применять в следующих ключевых ситуациях.

Сценарии применения в процессе VM

Сценарий применения BAS

Цель

Результат

Проверка новых критических CVE

Определить, представляет ли новая уязвимость с высоким CVSS реальную угрозу для вашей системы

Фокус на реальных угрозах, а не на теоретических

Валидация исключений

Объективно проверить, действительно ли существующие средства защиты надежно блокируют уязвимость

Предоставление данных, необходимых для принятия обоснованного решения о том, насколько можно рисковать

Проверка эффективности патчей

Убедиться, что обновление действительно устраняет уязвимость

Гарантия, что исправление работает и не появилось новых проблем

Оценка риска перед плановыми работами

Проверить, не сделает ли запланированное изменение систему более уязвимой

Предупреждение рисков

BAS особенно полезна в конкретных задачах. Как видно в таблице, она становится гибким инструментом, который помогает решать разные вопросы — от проверки исключений до оценки рисков перед изменениями в инфраструктуре.

От качественных улучшений к измеримым результатам

Внедрение любого нового процесса требует не только качественных описаний, но и четких критериев успеха. Чтобы оценить реальную эффективность интеграции BAS в цикл VM и продемонстрировать ее ценность, необходимо отслеживать ключевые показатели и метрики, которые переводят субъективные ощущения в объективные данные:

  • Коэффициент эффективности исправлений: количество исправленных уязвимостей, верифицированных BAS как эксплуатируемые / общее количество исправленных уязвимостей — 100%.

  • Среднее время на анализ одной уязвимости: время, которое инженер тратит на оценку и приоритизацию одной уязвимости из отчета сканера до передачи в работу.

  • Процент ложных срабатываний в процессе VM: доля уязвимостей с высоким CVSS, которые были признаны BAS неэксплуатируемыми.

Важно подчеркнуть, что внедрение BAS должно оцениваться не только качественно, но и количественно. Ключевые метрики, позволяют измерить реальную ценность интеграции BAS в процессы безопасности, и перейти от субъективных оценок к объективным данным, демонстрирующим рост эффективности и снижение операционной нагрузки на команды.

Заключение

Сочетание современных VM и BAS создает эффективную двухуровневую систему оценки рисков. Сканер анализирует инфраструктуру и выделяет потенциально эксплуатируемые уязвимости, а BAS проверяет их на реальную работоспособность в конкретных условиях. Такой подход позволяет точно определить актуальность каждой угрозы и сосредоточить ресурсы на устранении действительно опасных уязвимостей.

Что BAS дает на деле:

  • помогает сосредоточиться на главном — находит уязвимости, которыми «реально» могут воспользоваться злоумышленники;

  • делает работу специалистов по ИБ продуктивнее, предоставляя им проверенные и безопасные сценарии атак для тестирования;

  • позволяет убедиться, что исправления работают.

Важно понимать, что, несмотря на заверения разработчиков в безопасности, к использованию BAS-платформ стоит подходить осмотрительно. Хотя они применяют контролируемую симуляцию, автоматически откатывают изменения и работают в изолированной среде, определенные риски все же существуют — например, непредвиденное влияние на производительность или конфликты с системами защиты. Однако эти риски сопоставимы с теми, что возникают при использовании обычных сканеров уязвимостей, и могут быть минимизированы правильной настройкой и поэтапным внедрением.

Начинать рекомендуется с тестирования на наименее критичных ресурсах, проверки известных угроз и подтверждения уже закрытых уязвимостей. По мере накопления опыта и уверенности BAS может стать основой для построения автоматизированной системы безопасности, обеспечивающей непрерывный контроль и оперативное реагирование в реальном времени.

Автор:

Георгий Чернышов, старший инженер направления автоматизации ИБ