исследование 3 июня 2026

Как валидировать средства защиты с помощью BAS и MITRE ATT&CK

Купить и развернуть СЗИ — не значит быть защищённым. Антивирус, EDR, NGFW, SIEM и SOC могут быть настроены, но молчать там, где должны сработать. Breach and Attack Simulation (BAS) безопасно воспроизводит действия атакующих в боевой инфраструктуре, а матрица MITRE ATT&CK даёт общий язык тактик и техник, на котором фиксируется результат: что было заблокировано, что задетектировано, а что прошло незамеченным. **Если коротко:** валидация защиты — это не разовый пентест, а непрерывный цикл «эмуляция → детект → улучшение». Вы прогоняете техники ATT&CK через средства защиты, сопоставляете срабатывания с тем, что *должно* было сработать, находите слепые зоны SOC и закрываете их правилами, сигнатурами и настройками. Ниже — как устроена валидация через BAS и ATT&CK, какие тактики проверять и как замкнуть цикл. Сравнить BAS-платформы по подтверждённым сигналам можно в [рейтинге BAS-платформ](/rating/breach-attack-simulation).

8 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Полина Лебедева

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Как валидировать средства защиты с помощью BAS и MITRE ATT&CK — Тематическая иллюстрация к исследованию: Как валидировать средства защиты с помощью BAS и MITRE ATT&CK. Brett Sayles / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

5 лет в market research, digital-аналитике и конкурентных обзорах
Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Зачем валидировать защиту, если средства уже куплены

Между «средство защиты установлено» и «средство защиты работает» лежит большой разрыв. Сигнатуры устарели, правило корреляции написано под другую версию ОС, логи нужного источника не доходят до SIEM, EDR в режиме мониторинга вместо блокировки, а агент на части хостов попросту не установлен. Каждая из этих мелочей превращается в слепую зону, о которой команда узнаёт уже по факту инцидента.

Валидация отвечает на простой вопрос: **если атакующий применит конкретную технику, заметим ли мы её и остановим ли?** BAS позволяет задать этот вопрос десятки и сотни раз по разным техникам ATT&CK — регулярно, безопасно и измеримо, без привлечения внешней команды на каждую проверку. Это и отличает валидацию от ежегодного пентеста: пентест даёт срез на один день, валидация — постоянный контроль состояния защиты.

Как BAS и MITRE ATT&CK работают вместе

MITRE ATT&CK — это структурированная база знаний о поведении атакующих: тактики (зачем, например «Получение доступа к учётным данным»), техники (как, например «дамп LSASS») и процедуры (конкретные реализации). BAS-платформа берёт эти техники и безопасно воспроизводит их в вашей среде — запускает контролируемые эмуляции, не нанося ущерба данным и сервисам.

Связка даёт две вещи. Во-первых, **покрытие**: видно, какие тактики и техники ATT&CK вы вообще проверяете, а какие — нет (часто оказывается, что детектами закрыта малая доля матрицы). Во-вторых, **измеримость**: по каждой технике фиксируется исход — заблокировано средством защиты, задетектировано SOC или прошло незамеченным. Результат ложится на матрицу ATT&CK как тепловая карта, по которой сразу видно слепые зоны.

Покрытие тактик MITRE ATT&CK детектами: типичная картина до валидации

Редакционная оценка типичного уровня готовности детектов по тактикам (0–100) на основе открытых данных и практики. Это не бенчмарк конкретной организации — реальное покрытие измеряется прогоном BAS в вашей среде.

Initial Access (первичный доступ) 75 /100

75 /100

Execution (выполнение) 70 /100

70 /100

Persistence (закрепление) 55 /100

55 /100

Privilege Escalation (повышение привилегий) 50 /100

50 /100

Credential Access (доступ к учётным данным) 45 /100

45 /100

Lateral Movement (боковое перемещение) 40 /100

40 /100

Exfiltration (эксфильтрация) 35 /100

35 /100

Impact (воздействие) 50 /100

50 /100

Какие тактики ATT&CK проверять и как

Валидацию удобно вести по тактикам матрицы: для каждой есть характерные техники и ожидаемая реакция защиты. Таблица ниже — ориентир, какой результат считать нормой при прогоне BAS. Это не исчерпывающий список техник, а карта приоритетов: где именно искать слепые зоны и какое средство защиты должно отреагировать.

Тактика ATT&CK	Что эмулирует BAS	Что должно сработать
Initial Access	Фишинговое вложение, эксплойт на периметре	NGFW/IPS, почтовый шлюз, песочница
Execution	Запуск вредоносного скрипта, LOLBins	EDR, антивирус, правила SIEM
Persistence	Автозапуск, задача планировщика, служба	EDR, контроль целостности, аудит
Privilege Escalation	Эксплуатация уязвимости, обход UAC	EDR, патч-менеджмент, детект SOC
Credential Access	Дамп LSASS, Kerberoasting	EDR, детекты в SIEM, защита LSA
Lateral Movement	Pass-the-Hash, удалённое выполнение, RDP	EDR, сегментация, корреляция SIEM
Exfiltration	Выгрузка по HTTPS/DNS на внешний узел	DLP, NGFW, аномалии трафика
Impact	Эмуляция шифрования, удаление теневых копий	EDR, бэкап-контроль, реакция SOC

Как выявить слепые зоны SOC

Слепая зона — это техника, которую защита не заблокировала и SOC не задетектировал. BAS делает её видимой через сопоставление двух картин: что эмулятор *запустил* и что средства защиты с SOC *зафиксировали*. Расхождение и есть слепая зона.

- **«Молчащий» детект.** Техника прошла, но в SIEM нет события — не доходит лог-источник или нет правила корреляции. - **Детект без реакции.** Событие в SIEM есть, но алерт не сгенерирован или утонул в шуме — проблема правил, приоритизации и процессов SOC. - **Блок без видимости.** Средство заблокировало технику, но событие не попало в SOC — значит, при другой технике той же тактики команда останется слепой. - **Ложная уверенность.** «Покрытая» по документации тактика на деле проваливает прогон — типичная находка первой же валидации.

Где чаще теряются срабатывания в цепочке детектирования

Редакционная оценка типичного распределения причин пропусков по итогам прогонов BAS (доли в %, сумма ≈ 100). Иллюстрирует, куда смотреть в первую очередь, а не точную статистику конкретной организации.

Нет/не доходит лог-источник 30 %

30 %

Нет правила корреляции 30 %

30 %

Алерт утонул в шуме / не приоритизирован 20 %

20 %

Средство в режиме мониторинга, а не блокировки 15 %

15 %

Агент не установлен на части хостов 5 %

5 %

Цикл валидации защиты: 6 шагов

01 Определите объём
Выберите приоритетные тактики и техники ATT&CK под ваш профиль угроз и активы — начните с критичных сегментов.
02 Эмуляция
Запустите BAS-сценарии безопасно в боевой среде: техники прогоняются контролируемо, без ущерба данным и сервисам.
03 Сбор результатов
Зафиксируйте по каждой технике исход — заблокировано, задетектировано или пропущено — и наложите на матрицу ATT&CK.
04 Анализ слепых зон
Сопоставьте «что запущено» и «что зафиксировано», найдите расхождения и причины: лог-источник, правило, режим средства, процесс SOC.
05 Улучшение
Закройте пробелы: подключите источники, напишите/донастройте правила, переведите средство в блокировку, обновите сигнатуры и плейбуки.
06 Повторный прогон
Перезапустите те же техники и убедитесь, что слепая зона закрыта. Зафиксируйте регресс-набор и повторяйте цикл регулярно.

Чек-лист запуска валидации через BAS и ATT&CK

Привяжите проверки к ATT&CK выбирайте техники по матрице, а не наугад, чтобы измерять покрытие.

Расставьте приоритеты по угрозам начните с тактик и техник, актуальных для вашей отрасли и активов.

Проверьте телеметрию до прогона убедитесь, что нужные лог-источники доходят до SIEM.

Фиксируйте три исхода блок, детект, пропуск; без этого не отделить слепую зону от рабочего детекта.

Воспроизводите атаку безопасно прогоняйте BAS в боевой среде только в контролируемом режиме.

Замыкайте цикл улучшением каждая слепая зона должна превратиться в правило, сигнатуру или изменение настройки.

Делайте повторный прогон проверяйте, что исправление действительно закрыло пробел.

Запланируйте регулярность валидация раз в квартал/спринт, а не разово, плюс после крупных изменений.

Сравните платформы по фактам смотрите [рейтинг BAS-платформ](/rating/breach-attack-simulation) по подтверждённым сигналам.

Чем валидация через BAS отличается от пентеста

Пентест и BAS-валидация дополняют друг друга, но решают разные задачи. Пентест — это глубокая ручная работа команды, которая ищет нестандартные пути и творчески обходит защиту; он даёт срез на конкретный момент и силён в поиске новых уязвимостей. BAS — автоматизированный и повторяемый прогон известных техник ATT&CK, который масштабируется на сотни проверок и запускается так часто, как нужно.

Для непрерывного контроля состояния защиты нужен именно BAS: он отвечает на вопрос «не деградировали ли наши детекты со вчера». Разбор отличий — в статье [что такое BAS и чем имитация атак отличается от пентеста](/research/chto-takoe-bas-vs-pentest). Как мы оцениваем сами платформы: cyber-index.ru не продаёт места в рейтинге — поставщики сравниваются по проверяемым сигналам (внедрения, кейсы, отзывы, прозрачность данных).

Следующий шаг

Разобрались с подходом — переходите к выбору инструмента: **[рейтинг BAS-платформ →](/rating/breach-attack-simulation)** (сравнение по подтверждённым сигналам). Полезно прочитать рядом: [что такое BAS и чем имитация атак отличается от пентеста](/research/chto-takoe-bas-vs-pentest), [рейтинг BAS-платформ имитации атак 2026](/research/reyting-bas-platform-2026) и [выбор BAS-платформы для непрерывной проверки SOC](/research/vybor-bas-platformy).

Частые вопросы

Безопасно ли запускать BAS в боевой инфраструктуре?

Да — в этом и смысл BAS. Платформы воспроизводят техники атак контролируемо, без реального ущерба: вместо настоящего шифрования или кражи данных выполняются безопасные их имитации. Тестировать стоит сначала на ограниченном сегменте, затем расширять охват.

Чем валидация через BAS отличается от пентеста?

Пентест — ручной, творческий и разовый, силён в поиске новых уязвимостей. BAS — автоматизированный, повторяемый и масштабируемый прогон известных техник ATT&CK для непрерывного контроля детектов. Они дополняют друг друга: подробнее в статье BAS vs пентест.

Зачем нужна именно матрица MITRE ATT&CK?

Она даёт общий язык тактик и техник, на котором фиксируется результат каждой проверки. Это позволяет измерять покрытие (какую часть матрицы вы реально детектируете) и видеть слепые зоны как тепловую карту, а не как набор разрозненных тестов.

Как часто проводить валидацию?

Регулярно, а не разово: оптимально — раз в квартал или спринт, плюс обязательный прогон после крупных изменений (новое средство защиты, обновление правил, миграция). Слепые зоны появляются постоянно, поэтому ценность даёт именно непрерывность цикла.

Заменяет ли BAS SOC и SIEM?

Нет. BAS проверяет, что SOC, SIEM, EDR и другие средства работают как задумано, и подсказывает, что донастроить. Это инструмент валидации и улучшения защиты, а не замена самих средств обнаружения и реагирования.

Где сравнить BAS-платформы между собой?

В рейтинге BAS-платформ — там поставщики ранжированы по подтверждённым сигналам, а не по рекламе.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Банк данных угроз безопасности информации (БДУ) ФСТЭК России

Рейтинг BAS-платформ Сравнить поставщиков по подтверждённым сигналам Что такое BAS и чем имитация атак отличается от пентеста Рейтинг BAS-платформ имитации атак 2026 Выбор BAS-платформы для непрерывной проверки SOC