지속해서 발전하고 확대되는 사이버 위협에 대해서 내부 보안팀 즉, 방어자 입장에서는 공격자에 비해 매우 불리한 상황에 놓여있을 것이다. 예를 들어 공격자는 특정 기업의 서비스 또는 인프라에 대한 100개의 취약점 중 조치되지 않은, 공격이 가능한 하나의 취약점만 찾고 공격을 시도하면 되지만, 방어자 입장에서는 100개의 취약점을 모두 조치하고 새롭게 발견되는 취약점에 대해 분석하고 업데이트를 하는 등 계속해서 관리해야 하기 때문이다. 또한 회사의 내부 보안팀의 인력이 10명이라고 가정하였을 때 많다고 느낄 수 있지만 해커는 불특정 다수이기 때문에 시작부터 불리한 게임이라는 논리가 될 것이다. 이러한 배경과 맞물려 기존에는 차단 중심의 보안이 주를 이루었다면, 최근 보안트렌드의 중심은 차단중심에서 탐지중심으로 이동하였는데, 이미 내부망으로 침투한 호스트에서 피해자 네트워크를 스캔하고 공격 타겟을 정하기 위한 시간을 가지게 된다. (이는 APT 사이클을 통해 이해할 수 있다) 각종 구간 별 보안솔루션을 통한 차단은 계속 유지하되 사전에 차단할 수 없고 엔드포인트 단에서 이미 침투가 당한 상황이라면 그 다음 단계로 넘어가기 전에 이루어지는 공격에 대한 탐지 전략을 세울 수 있다. 이와 같은 방식으로 보안전략을 세우는 것이 전세계 보안 트렌드이며, 방어자 입장에서 적극적으로 위협을 사냥하는 Threat Hunting 개념이 나오게 되었다. Threat Hunting 개념은 수동적으로 대응하는 보안관제랑은 다른 개념이며, 군대로 따지면 수색대와 같은 역할을 하는 것이다. Threat Hunting을 개념을 토대로 탐지 중심의 보안 전략에서는 TTP 기반의 탐지 개념이 주를 이루고 있는데, 이는 시그너처 기반의 탐지 방식 즉, IOC 기반의 탐지에 한계가 존재하기 때문이다. 악성코드에 대한 시그너처가 없으면 탐지가 되지않고 우회하기가 쉬워지는데, 이러한 배경에서 궁극적으로 등장한 것이 행위 기반 탐지를 위한 TTP 기반의 탐지 개념이다.
TTP는 공격자 행위를 체계적으로 이해하기 위한 사고의 틀을 시작으로 등장하였으며, 사전적 정의는 다음과 같다.
행위 기반 탐지를 위해서는 방대한 데이터와 데이터에 대한 가시성이 요구되는데, 이러한 요구사항을 바탕으로 EDR(Endpoint Detect Response) 솔루션이 동장하였으나, EDR은 호스트의 데이터만 수집하기 때문에 네트워크 패킷 수집 및 분석을 통해 공격자의 행위를 설명하는 것에는 한계가 존재한다.
TTP 기반의 탐지는 결국 공격자가 사용하는 기법을 TTP로 분류하여 정리된 내용이 필요하게 되었고, 최근에 급부상한 것이 MITRE ATT&CK Framework이다. (Adversarial Tactics, Techniques, and Common Knowledge) MITRE ATT&CK는 MITRE 사와 미 국방성의 서브 프로젝트로 개발되었으나 당시에는 주목받지 못했었다. 최근에는 폭발적인 관심을 받게되면서 오늘날 사이버보안에서 가장 주목받고 있는 프로젝트이며, 모든 악성코드 및 침해사고 분석 보고서에는 MITRE ATT&CK의 TTP 매핑이라는 정보가 항상 같이 보고되며, 사고 조사 보고서 작성 시 MITRE ATT&CK Framework를 기반한 공격기법들을 나열하는 것이다.
나아가, 이러한 보안 트렌드에 위협 정보 방어(Threat Informed Defense) 개념이 등장하는데, 쉽게 말해 공격자가 사용하는 공격기법에 대해 에뮬레이션을 할 수 있는 것이며, MITRE에서는 다음과 같이 정의하고 있다.
"위협 정보 방어(Threat Informed Defense) 개념은 사이버 공격으로부터 보호, 탐지 및 완화하기 위해 적대적 무역 및 기술에 대한 깊은 이해를 적용합니다. 전 세계적 도전에 대한 커뮤니티 기반 접근방식입니다. -MITRE- "
안다리엘이나 라자루스 같은 공격 그룹이 사용했던 테크닉을 분석하여 구체적으로 에뮬레이션을 할 수 있도록 공격 시나리오를 구성하고, 기업 내부 보안팀의 사이버 위협 대응 체계 내에서 각 보안솔루션과 장비들이 잘 탐지해내는지 식별하여 차단되지 않은 항목이 있을 경우 조치해나감으로써 내부 보안을 강화하는 것이 Threat Informed Defense 개념이다. 이러한 전략과 정책을 기반으로 등장한 솔루션이 BAS 솔루션이다.