Der Krieg gegen Internetkriminelle ähnelt einem Wettlauf zwischen dem Hasen und dem Igel. Immer, sobald sich der Hase an erster Stelle im Ziel wähnt, meldet sich der Igel mit einem frechen „Ich bin schon hier!“. Fakt ist, Internetkriminelle sind heutzutage IT-Verantwortlichen meistens einen Schritt voran. Deshalb sind die häufigen sowie gezielten Neubewertungen von IT-Gefahren, als auch die der getroffenen technischen und organisatorischen Sicherheitsvorkehrungen, eine unabdingbare Grundlage für Firmen. Neben Penetrationstests und Schwachstellenscans kommt deshalb an vielen Orten immer öfter Breach- and- Attack- Simulation zum Gebrauch. Was sich hier versteckt, welche Vorteile diese im Gegensatz zu Penetrationstests bringt und warum sich jedes Unternehmen mit dieser Materie beschäftigen sollte, lesen Sie in unserem nachfolgenden Blogbeitrag.
Die globale IT-Sicherheitslage hat sich in der jüngsten Vergangenheit drastisch geändert: Netzwerke von Firmen werden mit steigendem Digitalisierungsgrad, immer stärker werdender Cloud-Konnektivität sowie wachsender Anbindung mobiler und internetfähiger Endgeräte immer größer, vielschichtiger und dynamischer – und damit gleichfalls angreifbarer für IT-Bedrohungen. Gleichzeitig erfährt die Internetkriminalität eine wachsende Entwicklung. Längst floriert im Untergrund ein sehr gut verwaltetes kriminelles Netzwerk mit unterschiedlichen Akteuren sowie vielfältigen Tools sowie Serviceleistungen.
So können eifrige Bedrohungsakteure, dem Dark Web Price Index 2022 von Privacy Affairs zufolge, schon für 200 US-Dollar einen 24-stündigen DDoS-Angriff mit 20.000 bis 50.000 Anfragen pro Sekunde auf eine gut geschützte Internetseite erwerben.
Um dieser komplexen sowie dynamischen Bedrohungslage effektiv zu begegnen, sind umfangreiche Abwehrmechanismen gefordert. Dazu gehören neben stabilen IT-Sicherheitsvorkehrungen und hohen IT-Sicherheitsstandards ebenso Werkzeuge, mit denen sich die Effektivität wie auch Effizienz der existierenden Sicherheitsinfrastruktur beständig überprüfen, messen und bewerten lässt.
Exakt an dieser Stelle kommt die besagte Breach- and- Attack- Simulations-Lösung, knapp BAS, zum Tragen.
Bei Breach-and-Attack-Simulations-Lösungen handelt es sich um moderne Testmethoden, die in Echtzeit beständig lebensnahe Angriffe auf die eingesetzten IT-Sicherheitstechnologien simulieren, um die Bedrohungs- und Angriffserkennung, Minderungs- und Präventionsfähigkeit ebenso wie die Gefahrenabwehr eines Betriebs zu prüfen.
Auf diese Weise sind IT-Verantwortliche in der Position, genau zu eruieren, wie wirksam die vorhandene IT-Sicherheitsumgebung gegenüber reellen Angriffen ist und an welchem Ort sich organisatorische, prozedurale oder auch technische Schwächen verbergen.
Hierbei sind Breach-and-Attack-Simulations-Systeme in der Lage, unterschiedliche Vektoren zu attackieren, und zwar derart, wie das ein Attackierender tun wird. Selbige reichen von Phishing-Angriffen auf E-Mail-Strukturen, über Angriffe auf die Firewall bis hin zur Vortäuschung einer Datenexfiltration.
Damit die Angriffsvektoren stets auf dem aktuellen Stand sind, speisen sich die meisten Breach-and-Attack-Systeme aus unterschiedlichen Quellen mit den allerneuesten Bedrohungen. Gleichzeitig werden die Elemente jener selbst ausgelösten Scheinattacken minutiös aufgenommen.
Werfen wir zunächst den Blick auf die generelle Arbeitsweise einer Breach-and-Attack- Simulations-Lösung.
Im ersten Step werden im Netzwerk BAS-Agenten ausgelegt. Dabei handelt es sich im simpelsten Fall um schmalspurige fiktive Maschinen, knapp VMs, oder aber um Software-Pakete, welche auf den Clients sowie Servern im Netz eingerichtet werden müssen.
Im zweiten Schritt werden die möglichen Angriffspfade bestimmt und dem Breach-and-Attack- Simulations-System wird angelernt, wie das Unternehmensnetzwerk gebildet ist und welche IT-Sicherheitskontrollen sich zwischen welchen Agenten wiederfinden. Auf diese Weise ist das System qualifiziert, eine Regel-Optimierung für die jeweiligen Sicherheitskomponenten zu empfehlen.
Im nächsten Step wird der „Angriff“ zwischen den Agenten geplant sowie durchgeführt.
Dazu werden gemäß der Breach-and-Attack-Simulations-Lösung von Hand oder per Templates eine Serie eventueller Angriffe definiert.
Das kann äußerst unterschiedlich ausschauen:
Nach diesem Modell lassen sich verschiedene potenzielle Angriffsszenarien durchexerzieren. Die Effektivität der Resultate hängt hingegen hiervon ab, wie der jeweilige Hersteller jene in seinem Produkt aufbereitet.
Erfolgreich simulierte Angriffe sind hilfreich, um Schwachstellen erkennen und die geeigneten Optimierungen ergreifen zu können wie auch um sie zu schließen, ehe ein echter Schadensfall passiert.
Es gibt drei verschiedene Arten von Breach-and-Attack-Simulations-Tools:
Bislang haben etliche Firmen meist externe Dienstleistungsunternehmen beauftragt, Penetrationstests durchzuführen. Allerdings dreht es sich dabei um punktuelle Prüfungen, die lediglich Aufklärung über den Sicherheitsstatus zum Testzeitpunkt liefern. Werden nach diesem Penetrationstest Anpassungen vorgenommen, heißt das nahezu immer auch eine Modifikation des Sicherheitsstatus. Auf diese Weise bleiben Sicherheitslücken unentdeckt, die selbst durch minimale Änderungen an den Unternehmenssystemen entstehen. Ebenso werden frühere, bereits gepatchte Schwächen von Angreifern ausgebeutet.
Der große Vorteil von Angriffssimulationen im Unterschied zu Penetrationstests oder Vulnerability-Scans besteht darin, dass sie Klarheit darüber geben, welche Attacken auf welche Art und Weise passieren. Demzufolge steigen Durchsichtigkeit und die Erfolgsrate bei der Behebung von Sicherheitsmängeln, Schwachstellen sowie Fehlkonfigurationen. Ferner können IT-Verantwortliche die Infrastruktur besser sichern, da simulierte Attacken zu einer verbesserten Beurteilung von IT-Sicherheitsgefahren beitragen und helfen, die Bedenken der Beteiligten zu verkleinern, im Ernstfall notwendige Entscheidungen zu treffen.
Um der dynamischen Bedrohungslandschaft gegenwärtig gewachsen zu bleiben, sind Firmen gut beraten, schlagkräftige Sicherheitsmechanismen zu implementieren. Die optimale Abwehr gegen raffinierte Angriffe krimineller Bedrohungsakteure liegt deshalb darin, den selben Ansatz zu wählen wie Bedrohungsakteure sowie proaktiv nach geeigneten Angriffswegen zu forschen.
Breach-and-Attack-Simulations-Lösungen legen hierfür ein zeitgemäßes sowie agiles Tool dar. Sie bieten mit permanenten Scheinangriffen auf die IT-Sicherheitsumgebung in Echtzeit nicht nur einen aktuellen sowie detaillierten Überblick über die Gefährdungslage in einem Betrieb – sie machen auch klar, an welchem Ort sich Schwachstellen verbergen und wie ein Eindringling ins Unternehmensnetzwerk gelangen und handeln kann.