BAS 기초 실습 | Notion

1. BAS (Breach and Attack Simulation)

정의: 실제 공격자의 기법(TTPs: Tactics, Techniques, Procedures)을 시뮬레이션하여 보안 체계(탐지·방어·대응)가 잘 동작하는지 검증하는 도구 및 방법론
목적:
- 기존 보안 솔루션(EDR, NDR, SIEM, FW 등)의 탐지 성능 검증
- 침해 대응(IR) 프로세스의 실효성 평가
- 조직 보안 태세의 지속적 강화

2. BAS 기초실습 목표

APT 공격 단계를 모사 → 방어 솔루션이 이를 탐지하는지 확인
탐지 실패 구간을 식별 → 룰/정책을 보강
탐지·대응 자동화 절차(SOAR, 플레이북)가 제대로 실행되는지 검증

3. 실습 환경 준비

가상 실습망 구성
- 공격자 VM (예: Kali Linux, BAS 툴 에이전트)
- 피해자 VM (Windows 10/11, 보안 에이전트 설치됨: EDR, AV)
- 모니터링 서버 (SIEM, 로그 수집기)
BAS 솔루션/도구
- 상용: SafeBreach, Cymulate, AttackIQ
- 오픈소스/경량: CALDERA(ATT&CK 기반), Atomic Red Team

4. 기초실습 시나리오

APT 공격의 초기 단계 → 내부 확산 → 데이터 탈취 중 일부를 단순화하여 테스트

단계	공격 시뮬레이션	BAS 예시 모듈
① 초기 침투	피싱 메일 시뮬레이션, 악성 스크립트 실행	Atomic Red Team: T1059 (Command Execution)
② 권한 상승	Mimikatz 실행, Credential Dumping	CALDERA: Privilege Escalation plugin
③ 내부 이동	SMB/Lateral Movement 모의	Infection Monkey lateral test
④ 데이터 유출	HTTPS/DNS 터널링 트래픽 발생	Cymulate Exfiltration module

공격 시나리오 선택: MITRE ATT&CK 매트릭스에서 TTP 고르기 (예: Credential Dumping)