На одном из purple team проектов мы запустили Cymulate-симуляцию lateral movement через SMB в сети с CrowdStrike Falcon на endpoint'ах и Splunk в роли SIEM. Платформа отработала десятки техник из MITRE ATT&CK за полтора часа и показала семь непокрытых. При ручной проверке три оказались false negative - EDR их детектировал, но BAS не получил обратную телеметрию из-за сетевой сегментации между VLAN'ами. Вот этот зазор между дашбордом BAS-платформы и реальным состоянием защит - то, о чём вендоры предпочитают молчать. И именно здесь начинается настоящий выбор инструмента.
Почему именно эти три BAS платформы и что осталось за рамками
На рынке Breach and Attack Simulation в 2025 году - больше десятка платформ. По данным StartupStash, Cymulate удерживает 20,7% рынка BAS - самое массовое решение в категории. AttackIQ - один из основателей направления и со-основатель Center for Threat-Informed Defense при MITRE. SafeBreach - пионер автоматизированной симуляции атак с крупнейшей библиотекой сценариев.Почему именно эта тройка:
- Зрелость платформы. Каждая работает в enterprise-сетях с AD, EDR и SIEM не первый год, а не существует на уровне MVP.
- Доступность для оценки. Все три дают trial или PoC-развёртывание - можно пощупать до покупки.
- Различие в архитектуре. Prevention-валидация (Cymulate), ATT&CK-центричная валидация контролей (AttackIQ), simulator-based тестирование (SafeBreach). Три разных подхода к одной задаче.
Как Breach and Attack Simulation работает изнутри
Архитектура BAS-платформы - три компонента:Агент (симулятор) ставится на endpoint'ы внутри целевой сети. Он играет роль «атакующего» - запускает техники из библиотеки атак по команде оркестратора. Агент не несёт реального вредоносного payload: он эмулирует поведение малвари, но не причиняет ущерба. Принципиальное отличие от automated pentest-платформ вроде Pentera - те реально эксплуатируют, а BAS только имитирует.
Оркестратор - управляющая плоскость, обычно SaaS или on-prem консоль. Определяет сценарий: какие техники запускать, в какой последовательности, на каких хостах. Тут же происходит маппинг результатов на MITRE ATT&CK и генерация отчётов.
Библиотека атак - набор предзаготовленных сценариев, покрывающих тактики от Initial Access до Impact. Размер библиотеки - один из главных дифференциаторов между платформами. Cymulate заявляет 100 000+ сценариев с ежедневным обновлением, SafeBreach позиционирует свой Hacker's Playbook как крупнейший в индустрии (сколько там реально уникальных - отдельный вопрос).
Типичный цикл: оркестратор отправляет задание агенту → агент выполняет технику (например, Process Injection - T1055) → EDR/SIEM либо детектируют, либо нет → платформа собирает результат и формирует gap-отчёт. Скорость цикла - от минут до часов в зависимости от объёма сценария и количества хостов.
Cymulate: непрерывная валидация средств защиты с фокусом на prevention
Cymulate - самая массовая BAS-платформа на рынке. Облачная модель доставки (SaaS) позволяет развернуть агенты и запустить первую симуляцию в пределах часа - при PoC-оценке это реально удобно, когда нужно быстро показать результат руководству.Сильные стороны:
- Покрытие восьми векторов атаки: email security, web gateway, endpoint, lateral movement, data exfiltration, phishing awareness, WAF и другие. Для security manager - удобная «панель управления» состоянием защиты.
- Быстрое развёртывание без выделенной инфраструктуры - не нужны серверы и консультанты.
- Единый risk score (шкала от 0 до 100) с привязкой к конкретным APT-группам: дашборд Resilience Overview показывает, какие именно техники конкретной группировки ваши контроли пропустили.
- AI Copilot конвертирует threat reports в готовые тесты за 60 секунд - это по данным вендора, в реальности зависит от сложности отчёта.
- Cymulate первично валидирует prevention: заблокировал ли контроль технику на уровне endpoint/network. Полная цепочка SOC response (EDR alert → SIEM корреляция → SOC triage → response action) проверяется слабее. Если вам нужно протестировать именно response pipeline - одного Cymulate мало.
- В среде с CrowdStrike Falcon: при жёсткой сетевой сегментации между VLAN'ами агент Cymulate может не получить обратную связь от EDR-сенсора на соседнем сегменте. Результат - false negative в gap-отчёте. Мы на это наступили (см. введение).
- Продвинутые кастомные сценарии (multi-stage campaign с цепочкой из 10+ техник) требуют ручной настройки, которая может занять до нескольких недель - это подтверждают пользователи и аналитический обзор Anti-Malware.ru.
Применимость: валидация контролей при внешнем и внутреннем пентесте, SOC assessment, регулярный compliance-driven security testing. Оптимально для организаций с большой поверхностью атаки и потребностью в непрерывном мониторинге prevention-gap'ов. Не подходит для air-gapped сред (SaaS only) и полной campaign emulation.
AttackIQ: MITRE ATT&CK и автоматизированное тестирование безопасности
AttackIQ выстроена вокруг MITRE ATT&CK как единой системы координат. Компания - со-основатель Center for Threat-Informed Defense (CTID), что даёт приоритетный доступ к новым техникам и фреймворкам. Если ваша команда мыслит в терминах ATT&CK - это их территория.Сильные стороны:
- Глубочайшая привязка к ATT&CK: каждый сценарий маппится на конкретные тактики, техники и процедуры (TTPs). Строите защиту от конкретной APT-группы - AttackIQ покажет coverage gap по каждой технике этой группы.
- Anatomic Engine - механизм, способный тестировать ML- и AI-based компоненты кибербезопасности, запускать multi-stage эмуляции и анализировать сетевые контроли.
- Гибкое развёртывание: SaaS, on-premises, гибрид. Для организаций с air-gapped сегментами или жёсткими требованиями к локализации данных - это критически важно.
- AttackIQ Ready! - managed offering для команд без выделенного red team. Платформа сама запускает регулярные тесты и отдаёт отчёты без участия оператора.
- Явная поддержка purple team: встроенные workflows для совместной работы red и blue team, включая трекинг remediation.
- Фокус на technique-level тестировании. AttackIQ отлично показывает, покрывает ли Elastic 8.x или SentinelOne конкретную технику (скажем, PowerShell execution - T1059.001 или Obfuscated Files - T1027), но слабее валидирует полные SOC workflow и многоэтапные campaign-сценарии.
- Интеграция с SIEM-платформами (Splunk, QRadar) требует настройки коннекторов. Пользователи отмечают сложности с мэппингом alert'ов на конкретные сценарии AttackIQ - особенно когда SIEM генерирует агрегированные alert'ы, а не по одному на технику.
- При развёртывании в среде с Microsoft Defender for Endpoint необходимо исключать агент AttackIQ из policy - иначе EDR будет блокировать сам симулятор, а не тестируемые техники. Звучит очевидно, но на практике об этом забывают чаще, чем хотелось бы.
Применимость: purple team автоматизация, оценка эффективности средств защиты по конкретным APT-кампаниям, MITRE ATT&CK coverage measurement. Оптимально для зрелых security-команд, которые строят threat-informed defence. Не подходит, если нужен только prevention-gap без ATT&CK-глубины - переплатите за то, что не используете.
SafeBreach: Hacker's Playbook и симуляция атак на инфраструктуру
SafeBreach - одна из первых BAS-платформ на рынке. Ключевой дифференциатор - Hacker's Playbook, постоянно обновляемая библиотека атакующих сценариев, покрывающая infiltration, lateral movement и exfiltration.Сильные стороны:
- Одна из крупнейших библиотек сценариев в индустрии с непрерывным обновлением.
- Simulator-based подход: SafeBreach может работать без установки агента на каждый endpoint. Для сред, где массовое развёртывание агентов невозможно (legacy-системы, OT-смежные сегменты) - это серьёзный аргумент.
- Визуализация attack path: платформа показывает, как атакующий мог бы пройти через сеть. Полезно для демонстрации рисков руководству - CISO любят такие картинки.
- Мультиплатформенность: Windows, Linux, macOS, облачные среды (AWS, Azure, GCP).
- Сильная отчётность для leadership: дашборды переводят технические gap'ы в бизнес-риски.
- Рыночная доля SafeBreach снизилась с 9,7% до 6,2% в 2025 году (данные StartupStash). Цифра сама по себе не приговор, но указывает на конкурентное давление.
- Simulator-based подход означает, что SafeBreach симулирует поведение атакующего, но не эмулирует его в полной мере. Разница: симуляция воспроизводит результат (файл создан, сетевой запрос отправлен), эмуляция воспроизводит поведение (процесс порождает дочерний процесс, инжектирует код в explorer.exe). Для EDR типа CrowdStrike Falcon или SentinelOne, которые ориентируются на behavioral detection, эта разница критична - симулятор может не вызвать alert, который вызвал бы реальный атакующий.
- Развёртывание в сложных средах требует выделенных ресурсов и может занять недели.
Применимость: организации с гетерогенной инфраструктурой (Windows + Linux + cloud), потребностью в leadership-ориентированной отчётности и ограничениями на массовую установку агентов. Не подходит, если нужна behavioral emulation против EDR с behavioral detection - симулятор может просто не триггернуть alert.
Сравнительная таблица: trade-offs Cymulate vs AttackIQ vs SafeBreach
| Критерий | Cymulate | AttackIQ | SafeBreach |
|---|---|---|---|
| Архитектура | SaaS, агент на endpoint | SaaS / on-prem / гибрид | Simulator-based, агент опционален |
| Развёртывание | Менее 1 часа (PoC) | Дни-недели (on-prem), часы (SaaS) | Дни-недели |
| Библиотека сценариев | 100 000+ (заявлено), ежедневное обновление | Привязана к ATT&CK, обновляется через CTID | Hacker's Playbook, одна из крупнейших |
| Глубина ATT&CK-маппинга | Хорошая, но фокус на prevention | Лучшая на рынке - CTID co-founder | Хорошая |
| Валидация SOC response chain | Частичная (prevention-фокус) | Частичная (technique-level) | Частичная (simulation-based) |
| Purple team workflow | Базовый | Нативный, встроенные инструменты | Базовый |
| Air-gapped / on-prem | Нет (SaaS only) | Да (on-prem опция) | Частично |
| Ориентир цены (USD/год) | От $84 000 (~$7K/мес) | От $40 000 | От $50 000 |
| Ключевое ограничение | Слабая валидация SOC workflow | Technique-level, не campaign-level | Симуляция, не эмуляция поведения |
| Когда НЕ использовать | Air-gapped среды, потребность в полной campaign emulation | Нужен только prevention-gap без ATT&CK-глубины | Нужна behavioral emulation против EDR с behavioral detection |
Когда что выбирать: decision tree для выбора BAS платформы
Выбор платформы определяется не фичами из маркетинговых материалов, а конкретным операционным контекстом:Если задача - непрерывный мониторинг prevention-gap'ов по максимальному числу векторов (email, web, endpoint, exfiltration) и нужен быстрый старт без тяжёлой инфраструктуры → Cymulate. Типичный сценарий: security team из 3–5 человек без выделенного red team, задача - дать CISO еженедельный risk score.
Если команда строит threat-informed defence и мыслит в терминах MITRE ATT&CK, запускает purple team упражнения и хочет измерять coverage по конкретным APT-группам → AttackIQ. Типичный сценарий: зрелый SOC с blue team и red team, задача - автоматизировать рутинную часть purple team и валидировать detection rules после каждого обновления SIEM.
Если инфраструктура гетерогенна (Windows + Linux + macOS + cloud), массовая установка агентов невозможна, и ключевая аудитория отчётов - руководство, а не SOC-аналитики → SafeBreach. Типичный сценарий: enterprise с legacy-сегментами и OT-смежными зонами, задача - демонстрировать board-level risk posture.
Если нужна полная валидация цепочки SOC response (technique → detection → alert → triage → response action) - ни одна из трёх платформ не закрывает это полностью. Стоит смотреть на SCYTHE или комбинацию BAS + manual red team.
Место BAS в kill chain: что платформа ловит и что пропускает
BAS-платформы работают лучше всего там, где атака следует предсказуемым паттернам. Конкретный маппинг:Хорошо покрывается:
- Initial Access: Spearphishing Attachment (T1566.001), Exploit Public-Facing Application (T1190) - стандартные сценарии, легко симулируются.
- Execution: PowerShell (T1059.001) - запуск известных payload'ов и скриптов.
- Exfiltration Over C2 Channel (T1041) - тестирование DLP и network monitoring.
- Data Encrypted for Impact (T1486) - симуляция ransomware-шифрования.
- Process Injection (T1055) - BAS запускает типовые техники инжекции, но не воспроизводит кастомный shellcode, который использует реальный атакующий с Cobalt Strike или Havoc. CrowdStrike Falcon с kernel-level телеметрией (ETW-TI) может видеть реальный инжект, но не реагировать на BAS-симуляцию - и наоборот.
- Disable or Modify Tools (T1562.001) - BAS проверяет, можно ли отключить EDR/AV, но не использует 0-day техники отключения, которые применяют APT.
- Obfuscated Files or Information (T1027) - симулятор использует известные паттерны обфускации. Реальный атакующий - уникальные. Библиотека всегда отстаёт от креатива.
- Человеческий фактор. По данным Verizon DBIR 2025, 68% подтверждённых утечек включают «human element» - ошибки сотрудников и социальную инженерию. BAS-платформы тестируют фишинг-фильтры на email gateway, но не проверяют, перезвонит ли финансовый директор «CEO» по номеру из deepfake-сообщения.
- Кастомные evasion-техники. Если red team пишет собственный loader с прямыми syscall'ами, обходящий user-mode hooks SentinelOne - BAS-платформа этот сценарий не воспроизведёт. Библиотеки атак содержат известные техники, а не novel evasion.
- Физический и supply chain вектор. Никакой BAS не проверит, насколько легко пронести Rubber Ducky мимо охраны.
По данным IBM X-Force 2025, среднее время между публикацией CVE и устранением в организации - 29 месяцев. BAS-платформа может ежедневно показывать, что конкретная CVE всё ещё эксплуатируема в вашей среде, но без процесса remediation это просто красивая метрика на дашборде.
Purple team автоматизация: практический workflow с BAS
Требования к окружению
Этот workflow не заменяет полноценный red team engagement с Cobalt Strike или Havoc - он автоматизирует рутинную часть, освобождая red team для креативных сценариев, которые BAS принципиально не покрывает.
Рынок BAS, по данным The Business Research Company, оценён в $0,92 млрд на начало 2025 года с прогнозом роста до $4,68 млрд к 2030 году (CAGR 38,4%). За этими цифрами - реальный операционный запрос: организации вкладывают миллионы в защиту и не имеют способа проверить, работает ли она.
Мы развернули все три платформы в production-средах и видим устойчивый паттерн: BAS отлично автоматизирует проверку того, что уже известно. Spearphishing Attachment, PowerShell execution, стандартный lateral movement - если ваши контроли это пропускают, BAS найдёт gap за часы, а не за недели ожидания пентест-отчёта. Но когда начинается кастомный evasion - прямые syscall'ы, обход user-mode hooks SentinelOne, novel C2 через DNS-over-HTTPS - BAS-платформа молчит, потому что таких сценариев нет в библиотеке.
По данным Anti-Malware.ru, объём ложных срабатываний BAS может достигать 30–50%, и мой опыт это подтверждает - особенно в сегментированных сетях с несколькими EDR-вендорами одновременно.
Главная ошибка, которую я вижу: команды покупают BAS-платформу и считают, что закрыли потребность в red team. Нет. BAS масштабирует рутину, red team закрывает креатив. Одно не заменяет другое. Организации, которые это поняли и используют BAS для ежедневной валидации между квартальными red team engagement'ами, получают реальное снижение gap'ов. Те, кто заменил пентестеров дашбордом - получают красивые метрики и blind spots, которые найдёт атакующий, а не симулятор. На WAPT эту связку «автоматизация + ручная работа» разбирают в модулях по purple team с реальными лабами.
