BAS2.0とは?
PenteraはBASとどう違うのか?を詳しく解説します
Penteraは、よく「BASとどう違うのか?」というご質問を頂きますので、Pentera社のブログをもとに詳しく解説いたします。
はじめに
当社が取り扱う自動ペネトレーションテストツール「Pentera」は、よく「BASとどう違うのか?」という質問を受けます。この記事では、Pentera社のブログをもとに、Pentera(BAS2.0)と従来のBAS(攻撃シミュレーションツール)の違いを深掘りしていきます。
今回の記事の元であるPentera社のブログ(英語)は以下よりご覧いただけます。
Pentera社のブログを見る
また、そもそもPenteraって何?という方は、まずは以下当社製品紹介ページをご覧ください。
製品紹介ページを見る
そもそもBASとは?
BAS(Breach and Attack Simulation)とは、組織のセキュリティ対策を評価・改善するためのシミュレーションツールです。実際のサイバー攻撃を模擬的に実行し、脆弱性の特定や既存のセキュリティ対策の効果を検証します。これにより、組織は自社のセキュリティ体制の現状を把握し、より効果的なセキュリティ対策を講じることが可能となります。
従来のBASの限界
従来のBASは、あらかじめ決められたシナリオに基づいて作られているため、特定の対策を検証するためにさまざまなTTP(戦術、技術、手順)に対してテストするのには適していますが、組織の攻撃対象領域全体の継続的な可視化という点では不足しています。
BAS 2.0の登場
BAS 2.0は、従来のエージェントベースのBASとは異なり、実際の攻撃者の行動を安全に模倣したテストをIT環境全体に実施し、実際の危険度に基づいて本当に対策が必要な箇所を特定し、優先順位付けすることができます。BAS 2.0という次世代のアプローチは、決まった手順ややエージェントベースのシミュレーションに頼るのではなく、より広範囲ななセキュリティ検証を提供し、運用にかかる手間を少なくして実現します。当社が取り扱う「Pentera」はまさにBAS 2.0に該当する次世代のセキュリティソリューションです。
BASとBAS 2.0の具体的な違い
違いは主に以下6つです:
- BASは「シミュレーション」、BAS 2.0は「本物の攻撃」
- BASは「決まった手順」、BAS 2.0は「アルゴリズム」
- BASは「手法(TTP)に基づいた重視」、BAS 2.0は「影響に基づいた優先順位付け」
- BASは「エージェントベース」、BAS 2.0は「エージェントレス」
- BASは「限定的な範囲」、BAS 2.0は「完全な攻撃対象領域」
- BASは「IDに依存しない」、BAS 2.0は「ID脅威テスト」
ここから、具体的な違いをご説明いたします。
1. BASは「シミュレーション」、BAS 2.0は「本物の攻撃」
- 従来のBAS: 「ネットワーク上の機器の設定は全て同じ」という考えに基づいて動く。テストしている特定の対策についての情報を提供し、想定される弱点のみを評価
- BAS 2.0: 実際のIT環境でリスクのないよう攻撃を模倣し、攻撃者が悪用する可能性のあるすべての弱点を評価。
2. BASは「決まった手順」、BAS 2.0は「アルゴリズム」
- 従来のBAS: 決まった手順に基づいたテストしかできず、攻撃者が状況に合わせて戦術を変えてくることに対応できない。
- BAS 2.0: アルゴリズムに基づく攻撃で、攻撃経路を動的に追跡し、攻撃者が利用する可能性のある様々なセキュリティ上の弱点を模倣する。また攻撃が成功するたびにプロセスを再計算し、セキュリティ状態をより詳しく可視化することで悪用される可能性のある「未知の未来」を発見できる。
3. BASは「手法(TTP)に基づいた重視」、BAS 2.0は「影響に基づいた優先順位付け」
- 従来のBAS: 特定の弱点を見つけるための様々なシナリオを提供するが、どれが本当に重要なのかという点では情報が不足している。成功した手法をリストアップするたけで、実際にどんなビジネス上の影響を与える可能性があるかまでは検証しない
- BAS 2.0: デジタル資産が盗まれたり、壊されたりする可能性があるという明確な証拠に基づき、脆弱性の優先順位を付ける。根本原因からビジネスへの影響まで、完全な攻撃の流れをテストすることで、最もリスクの高い脆弱性を特定する。
4. BASは「エージェントベース」、BAS 2.0は「エージェントレス」
- 従来のBAS: エンドポイントデバイスごとにエージェントを必要とし、それぞれが継続的なアップデートとメンテナンスを必要とするため、複雑さと運用上の手間が増えてしまう。
- BAS 2.0: エージェントレスのため複雑さや運用上の手間を減らし、独立した攻撃ノードを使ってネットワーク内を自由にテストすることができるため、対象環境に関係なくスムーズなテストが可能となる。
5. BASは「限定的な範囲」、BAS 2.0は「完全な攻撃対象領域」
- 従来のBAS: コンピューティングノード上の対策のテストに限定。攻撃者が新しい情報を発見し、様々な攻撃ステップを試み、ネットワークや環境を切り替える可能性がある場合に、その環境がどれだけ安全であるかを可視化することはできない。
- BAS 2.0: 脆弱性や認証情報、設定、データの管理状況など、本番環境全体を検証。エンドポイント、サーバー、サービス、ネットワークデバイス全てがテストされ、脆弱性がどのように悪用されたかを明確に示すことで、より広範囲にわたる正確な優先順位付けが可能となる。
6. BASは「IDに依存しない」、BAS 2.0は「ID脅威テスト」
- 従来のBAS: 機密情報を発見することはできるが、発見結果を結び付けたり、攻撃プロセスを通じてそれらを関連付けたりすることはできません。その結果、エージェントが実行されたホスト環境に限定された攻撃シナリオになってしまう。
- BAS 2.0: ネットワークを盗聴し、クレデンシャル情報やその他の機密情報をスキャンすることで、IDデータの管理における弱点を積極的に悪用し続ける。発見したデータ等を活用して攻撃を進め、実際の攻撃者の戦術を模倣して権限昇格を行い、環境内でのラテラルムーブメントなどを実行。
まとめ
BAS 2.0は、従来のBASに比べて大幅に進化しています。
従来のBASは、決められたシナリオに基づき特定の対策を検証するには有効でしたが、変化の速い現代の脅威に対応するには限界がありました。一方、BAS 2.0は、実際の攻撃者の動きを真似てIT環境全体を継続的に検証し、リスクを自動で特定・優先順位付けします。
BAS 2.0 は、アルゴリズムに基づき攻撃経路を動的に探索し、ビジネス影響に基づいた脆弱性の優先順位付け、エージェントレスでの運用、本番環境全体での検証、そしてIDデータの悪用といった高度な機能を提供します。
これにより、従来のBASでは見過ごされていたリスクを発見し、より効果的なセキュリティ対策を実現します。
BAS 2.0は、組織のセキュリティ体制を強化し、サイバーリスクを軽減するための不可欠です。BAS 2.0 を活用することで、サイバー攻撃から組織を守り、ビジネスの継続性を確保することができます。
そして冒頭でもお伝えしました通り、自動セキュリティ検証プラットフォーム「Pentera」はBAS2.0としての特徴を持つユニークな製品です。
Penteraについてもっと知りたいという方は他のブログもぜひご覧ください。
Pentera関連ブログを見る
デモを見たい、ハンズオンを受けたい、価格を知りたい、試してみたいなどのご要望がございましたら、お気軽にお問い合わせください。
Penteraのお問い合わせはこちら>
この記事の投稿者R.Terada
東京エレクトロンデバイスにてインサイドセールスとPentera製品営業を担当しています。
この記事をシェア
