Im Zentrum der Ankündigung steht die Aussage, dass automatisiertes Pentesting häufig wie eine vollständige Sicherheitsvalidierung behandelt werde, obwohl es das nicht sei. Ein Bericht mit wenigen oder keinen neuen Befunden könne zwar bedeuten, dass offensichtliche Schwachstellen behoben wurden. Er könne aber ebenso darauf hindeuten, dass das Werkzeug an die Grenze dessen gestoßen ist, was es überhaupt erkennen kann.
Picus Security beschreibt Sicherheitsvalidierung in diesem Zusammenhang als sechs Oberflächen und verortet automatisiertes Pentesting nur auf einer davon: dem Angriffsweg. Gemeint ist damit die Frage, ob sich ein Angreifer durch eine Umgebung bewegen kann. Nach Darstellung von Picus bleiben damit fünf weitere Bereiche unbewiesen, darunter Erkennungsregeln, Cloud-Konfigurationen, Identitätskontrollen und Schutzmechanismen für KI.
Der Text betont ausdrücklich, dass sich diese Lücke nicht einfach durch Feintuning schließen lässt. Eine optimierte Konfiguration könne den Scan zwar schärfer machen, aus einem Test auf Angriffswege aber keine Validierung von Erkennung oder Cloud-Sicherheit machen. Die Aussagekraft des Werkzeugs bleibe also auf seinen Prüfbereich begrenzt.
Als besonders häufig übersehener Punkt nennt die Webinar-Ankündigung die Reaktion bestehender Sicherheitskontrollen. Wenn ein Tool eine Technik erfolgreich ausnutzt, könne es nicht beantworten, ob eine SIEM-Regel ausgelöst wurde oder ein EDR-Produkt Alarm geschlagen hat. Es könne womöglich belegen, dass das Auslesen von Zugangsdaten oder seitliche Bewegung möglich ist. Daraus folge aber noch nicht, dass EDR diese Aktivität blockiert, SIEM sie protokolliert oder ein SOC genügend Signale erhalten hätte, um zu reagieren.
Genau darin sieht der Text das eigentliche Risiko: Ein erreichbarer Angriffsweg werde mit einem verteidigten Angriffsweg verwechselt. Automatisiertes Pentesting belege, dass ein Pfad existiert. Es sage jedoch nichts darüber aus, ob ein Angreifer auf diesem Pfad entdeckt worden wäre.
Dem stellt die Ankündigung Breach and Attack Simulation gegenüber. Diese Methode frage laut Picus, ob eine Sicherheitskontrolle auf ein bekanntes Verhalten reagiert hat: also ob es blockiert, erkannt, protokolliert oder verfehlt wurde. Automatisiertes Pentesting frage dagegen, wie weit ein Angreifer über einen ausnutzbaren Pfad gelangen könnte. Ersetze man das eine durch das andere, verschwinde die Lücke nur aus dem Bericht, nicht aus der Umgebung.
Ein weiterer Schwerpunkt der Session ist laut Ankündigung die Priorisierung von Risiken. Wenn ein Werkzeug zwar einen Angriffsweg nachweist, vorhandene Kontrollen diesen Weg aber bereits blockieren oder erkennen, habe dieser Befund womöglich nicht dieselbe Dringlichkeit wie ein Verhalten, das unbemerkt funktioniert. Ohne Validierung der Kontrollen, so das Argument, ordnen Teams Risiken mit nur der Hälfte der verfügbaren Belege ein. Das Webinar soll deshalb zeigen, wie sich eine große Menge an Findings in eine priorisierte Warteschlange überführen lässt – basierend darauf, ob Sicherheitskontrollen das jeweilige Verhalten tatsächlich erkannt haben.