Security Testing Glossar
BAS - Breach and Attack Simulation
Breach and Attack Simulation (BAS) ist eine Technologie die kontinuierlich und automatisiert Cyberangriffe simuliert um Sicherheitslücken in Echtzeit zu finden - ohne manuelle Penetrationstester. BAS-Plattformen testen Detection (findet das SIEM den Angriff?), Prevention (blockt die Firewall?) und Response (reagiert das SOC korrekt?) auf Basis von MITRE ATT&CK Techniken.
Breach and Attack Simulation (BAS) schließt die Lücke zwischen einmaligen Penetrationstests und dauerhafter Sicherheitsvalidierung. Während ein Penetrationstest ein Snapshot ist (“am Tag X war das System so sicher”), läuft BAS kontinuierlich und deckt Drift in der Sicherheitskonfiguration sofort auf.
BAS vs. Penetrationstest vs. Red Team
Vergleich der Ansätze:
Penetrationstest:
Frequency: 1-2× pro Jahr
Scope: Definierter Umfang, gezielt
Methode: Manuelle Expertise + Tools
Output: Detaillierter Bericht
Stärke: Tiefe, komplexe Angriffsketten
Schwäche: Snapshot, teuer, selten
Red Team Exercise:
Frequency: 1× pro Jahr (oder seltener)
Scope: Offene Zielvorgabe (APT-Simulation)
Methode: Advanced Persistent Threat Emulation
Output: Executive Summary + technischer Bericht
Stärke: Realistische APT-Simulation, Dwell-Time-Test
Schwäche: Aufwändig, teuer, selten
BAS (Breach and Attack Simulation):
Frequency: Kontinuierlich (täglich/wöchentlich)
Scope: Alle MITRE ATT&CK Techniken (systematisch)
Methode: Automatisierte Simulation
Output: Dashboard, Score, Trend
Stärke: Kontinuierliche Validierung, Coverage-Messung
Schwäche: Keine Kreativität/Kontext wie echter Pentester
Keine 0-day-Entdeckung
Kann nicht alle komplexen Szenarien abbilden
Empfehlung: BAS + Pentest + Red Team kombinieren
BAS: Kontinuierliche Baseline + Regression-Testing
Pentest: Tiefe Analyse spezifischer Systeme
Red Team: Realistische APT-Simulation und VerteidigungsvalidierungBAS-Architektur und Funktionsweise
BAS-Plattform-Komponenten:
1. Attack Library:
→ Datenbank von Angriffstechniken (MITRE ATT&CK-basiert)
→ Kontinuierlich aktualisiert mit neuen TTPs
→ Kategorisiert: Initial Access, Execution, Persistence,
Privilege Escalation, Defense Evasion, Credential Access,
Discovery, Lateral Movement, Collection, Exfiltration, C2
2. Agents / Simulatoren:
→ Lightweight Agents auf Endpoints und Netzwerkgeräten
→ Führen Angriffstechniken "harmlos" aus (kein echter Schaden!)
→ Beispiel: "DNS-Beaconing" simulieren ohne echte C2-Verbindung
3. Simulation Engine:
→ Koordiniert Angriffssimulationen
→ Kombiniert Techniken zu vollständigen Angriffsketten
→ Purple-Team-Modus: zeigt welche Techniken detected werden
4. Analytics & Reporting:
→ MITRE ATT&CK Navigator Heatmap: Coverage visualisieren
→ Score: "X% der Techniken werden detectiert/blockiert"
→ Trending: Verbesserung/Verschlechterung über Zeit
→ SIEM-Vergleich: Alert erwartet vs. Alert tatsächlich ausgelöst?
Techniken die BAS testet:
□ Malware-Simulation: Payload auf Endpoint bringen (ohne echte Infektion)
□ Lateral Movement: PsExec, WMI, Pass-the-Hash simulieren
□ Data Exfiltration: Daten über DNS/HTTP/HTTPS ausleiten
□ C2-Kommunikation: Beacon zu simuliertem C2-Server
□ Privilege Escalation: Known-Vulnerabilities für Eskalation testen
□ Defense Evasion: AMSI-Bypass, EDR-Umgehung testen (harmlos!)
□ Email Phishing: Payload per Mail in Sandbox zustellenFührende BAS-Plattformen
Kommerziell:
Cymulate:
→ Breite MITRE ATT&CK Coverage
→ E-Mail Gateway Testing (Phishing-Simulation + Malware)
→ Web Application Testing (OWASP Top 10)
→ Cloud Security Testing (AWS, Azure)
→ Preis: Enterprise, individuelle Preisgestaltung
AttackIQ:
→ "Purple Teaming"-Fokus
→ Tiefe MITRE ATT&CK Integration
→ FireDrill: Automated Breach Simulation
→ Academy: kostenlose ATT&CK-Trainings
SafeBreach:
→ "Hacker's Playbook" Ansatz
→ 30.000+ Simulationsszenarien
→ Insider Threat Simulationen
→ Cloud-native BAS
Picus Security:
→ "Peer Comparison": wie gut bin ich vs. Industrie?
→ Mitigation Library: konkrete Fix-Empfehlungen
→ Use-Case: SIEM-Detection-Validierung
Pentera:
→ Automated Penetration Testing (nicht nur Simulation)
→ Echter Exploit-Code (in kontrollierter Umgebung)
→ RPA (Robotic Pen Testing) - automatische Full-Chain-Exploits
→ Unterschied zu anderen BAS: wirkliche Exploitation, nicht nur Simulation
Open Source:
Atomic Red Team (Mitre ATT&CK Lab):
→ GitHub: github.com/redcanaryco/atomic-red-team
→ Kostenlos: PowerShell/Bash-Tests für einzelne ATT&CK-Techniken
→ Kein Dashboard, aber gut für Detection Engineering
Caldera (MITRE):
→ Automatisierter Adversary-Emulation-Framework
→ Plugin-System: Sandcat Agent, Commander Plugin
→ Für Security-Teams mit technischer ErfahrungBAS in der Praxis
Typischer BAS-Einsatz:
Use Case 1: SIEM Detection Validation
Problem: Wir haben 500 SIEM-Rules. Welche funktionieren wirklich?
BAS-Lösung:
→ BAS führt Technik aus (z.B. T1003.001 LSASS Dump)
→ Erwartet: Alert in SIEM
→ Vergleich: Alert ausgelöst? (Gap-Analyse)
→ Ergebnis: "Von 50 getesteten Techniken: 32 detectiert, 18 Lücken"
→ Action: Detection Rules für die 18 Lücken erstellen
Use Case 2: EDR/AV Tuning
Problem: Blockt unser EDR aktuelle Malware?
BAS-Lösung:
→ Malware-Payload-Simulation auf Endpoint
→ Erwartet: EDR blockiert/quarantiniert
→ Vergleich: geblockt? Wenn nein: EDR-Policy anpassen
→ Einsatz: nach jeder EDR-Update-Runde
Use Case 3: Firewall-Regelprüfung
Problem: Welche Exfiltrations-Kanäle sind offen?
BAS-Lösung:
→ Simuliert Datenexfiltration über DNS, HTTP, ICMP, SMB, FTP
→ Firewalls sollten blockieren
→ Bericht: "DNS-Exfiltration: geblockt; ICMP-Exfiltration: NICHT geblockt → Fix!"
BAS-Integration in Security-Prozesse:
□ Wöchentlicher BAS-Scan → Dashboard-Review im SOC
□ Nach jedem großen System-Update → Regression-Test
□ Monatlicher Report an Management: Security-Score-Trend
□ Vor Penetrationstest: BAS zur Vor-Validierung
□ Nach Pentest-Findings: BAS bestätigt ob Fix korrekt
KPIs aus BAS:
Prevention Score: % der Techniken die geblockt werden
Detection Score: % der Techniken die detectiert werden
MTTD (Mean Time To Detect): wie schnell wird Simulation detectiert?
Coverage Score: % der MITRE ATT&CK-Matrix abgedeckt
