Der Krieg gegen Internetkriminelle ähnelt einem Wettlauf zwischen dem Hasen und dem Igel. Immer, sobald sich der Hase an erster Stelle im Ziel wähnt, meldet sich der Igel mit einem frechen „Ich bin schon hier!“. Fakt ist, Internetkriminelle sind heutzutage IT-Verantwortlichen meistens einen Schritt voran. Deshalb sind die häufigen sowie gezielten Neubewertungen von IT-Gefahren, als auch die der getroffenen technischen und organisatorischen Sicherheitsvorkehrungen, eine unabdingbare Grundlage für Firmen. Neben Penetrationstests und Schwachstellenscans kommt deshalb an vielen Orten immer öfter Breach- and- Attack- Simulation zum Gebrauch. Was sich hier versteckt, welche Vorteile diese im Gegensatz zu Penetrationstests bringt und warum sich jedes Unternehmen mit dieser Materie beschäftigen sollte, lesen Sie in unserem nachfolgenden Blogbeitrag.
Die globale IT-Sicherheitslage hat sich in der jüngsten Vergangenheit drastisch geändert: Netzwerke von Firmen werden mit steigendem Digitalisierungsgrad, immer stärker werdender Cloud-Konnektivität sowie wachsender Anbindung mobiler und internetfähiger Endgeräte immer größer, vielschichtiger und dynamischer – und damit gleichfalls angreifbarer für IT-Bedrohungen. Gleichzeitig erfährt die Internetkriminalität eine wachsende Entwicklung. Längst floriert im Untergrund ein sehr gut verwaltetes kriminelles Netzwerk mit unterschiedlichen Akteuren sowie vielfältigen Tools sowie Serviceleistungen.
So können eifrige Bedrohungsakteure, dem Dark Web Price Index 2022 von Privacy Affairs zufolge, schon für 200 US-Dollar einen 24-stündigen DDoS-Angriff mit 20.000 bis 50.000 Anfragen pro Sekunde auf eine gut geschützte Internetseite erwerben.
Um dieser komplexen sowie dynamischen Bedrohungslage effektiv zu begegnen, sind umfangreiche Abwehrmechanismen gefordert. Dazu gehören neben stabilen IT-Sicherheitsvorkehrungen und hohen IT-Sicherheitsstandards ebenso Werkzeuge, mit denen sich die Effektivität wie auch Effizienz der existierenden Sicherheitsinfrastruktur beständig überprüfen, messen und bewerten lässt.
Exakt an dieser Stelle kommt die besagte Breach- and- Attack- Simulations-Lösung, knapp BAS, zum Tragen.
Denken Sie wie ein Hacker!
Bei Breach-and-Attack-Simulations-Lösungen handelt es sich um moderne Testmethoden, die in Echtzeit beständig lebensnahe Angriffe auf die eingesetzten IT-Sicherheitstechnologien simulieren, um die Bedrohungs- und Angriffserkennung, Minderungs- und Präventionsfähigkeit ebenso wie die Gefahrenabwehr eines Betriebs zu prüfen.
Auf diese Weise sind IT-Verantwortliche in der Position, genau zu eruieren, wie wirksam die vorhandene IT-Sicherheitsumgebung gegenüber reellen Angriffen ist und an welchem Ort sich organisatorische, prozedurale oder auch technische Schwächen verbergen.
Hierbei sind Breach-and-Attack-Simulations-Systeme in der Lage, unterschiedliche Vektoren zu attackieren, und zwar derart, wie das ein Attackierender tun wird. Selbige reichen von Phishing-Angriffen auf E-Mail-Strukturen, über Angriffe auf die Firewall bis hin zur Vortäuschung einer Datenexfiltration.
Damit die Angriffsvektoren stets auf dem aktuellen Stand sind, speisen sich die meisten Breach-and-Attack-Systeme aus unterschiedlichen Quellen mit den allerneuesten Bedrohungen. Gleichzeitig werden die Elemente jener selbst ausgelösten Scheinattacken minutiös aufgenommen.
Breach-and-Attack-Simulation: Wie erfolgt der Scheinangriff eigentlich?
Werfen wir zunächst den Blick auf die generelle Arbeitsweise einer Breach-and-Attack- Simulations-Lösung.
Im ersten Step werden im Netzwerk BAS-Agenten ausgelegt. Dabei handelt es sich im simpelsten Fall um schmalspurige fiktive Maschinen, knapp VMs, oder aber um Software-Pakete, welche auf den Clients sowie Servern im Netz eingerichtet werden müssen.
Im zweiten Schritt werden die möglichen Angriffspfade bestimmt und dem Breach-and-Attack- Simulations-System wird angelernt, wie das Unternehmensnetzwerk gebildet ist und welche IT-Sicherheitskontrollen sich zwischen welchen Agenten wiederfinden. Auf diese Weise ist das System qualifiziert, eine Regel-Optimierung für die jeweiligen Sicherheitskomponenten zu empfehlen.
Im nächsten Step wird der „Angriff“ zwischen den Agenten geplant sowie durchgeführt.
Dazu werden gemäß der Breach-and-Attack-Simulations-Lösung von Hand oder per Templates eine Serie eventueller Angriffe definiert.
Das kann äußerst unterschiedlich ausschauen:
- Ein Agent im Client-Netzwerk versucht, ein paar TCP-Verbindungen auf unterschiedliche Ports des Agenten im Datenbank-VLAN anzugreifen
- Der Agent in einem Server-Netz sendet Pakete zum Agenten im Datenbank-VLAN, die auf eine bekannte IPS-Signatur (IPS: Abkürzung für Intrusion Prevention System) passen, etwa ein Exploit gegen eine bekannte Schwäche.
- Ein Agent aus dem Internet sendet einen HTTP-Request mit einer SQL-Injection durch die Wireless Application Firewall, kurz WAF, zum Agenten, welcher neben der Webanwendung „XYZ“ liegt
Nach diesem Modell lassen sich verschiedene potenzielle Angriffsszenarien durchexerzieren. Die Effektivität der Resultate hängt hingegen hiervon ab, wie der jeweilige Hersteller jene in seinem Produkt aufbereitet.
Breach-and-Attack-Simulation: Die verschiedenen Lösungen auf einen Blick!
Erfolgreich simulierte Angriffe sind hilfreich, um Schwachstellen erkennen und die geeigneten Optimierungen ergreifen zu können wie auch um sie zu schließen, ehe ein echter Schadensfall passiert.
Es gibt drei verschiedene Arten von Breach-and-Attack-Simulations-Tools:
- Agenten-basierte Breach-and-Attack-Simulations-Tools:
agentenbasierte Angriffssimulationslösungen sind die einfachste Fasson von Breach- and- Attack- Simulation. Hierbei werden Agenten im kompletten LAN eingesetzt und es wird mittels gefundener Schwachpunkte festgelegt, welche Angriffspfade potenziellen Bedrohungsakteuren offenstehen, um sich im Unternehmensnetzwerk aufzuhalten. Agenten-basierte Breach-and-Attack-Simulations-Tools weisen große Parallelen zu Schwachstellen-Scans auf, bieten aber deutlich mehr Kontext. - Auf „böswilligem“ Datenverkehr basierende Breach-and-Attack-Simulations-Tools:
Diese Angriffssimulationslösungen erstellen inmitten des Unternehmensnetzwerks auffälligen Datentraffic zwischen gezielt dafür festgelegten virtuellen Maschinen, die als Angriffsziele für unterschiedlichste Angriffsszenarien dienen. Es wird anschließend eine Übersicht erarbeitet, welche Ereignisse nicht von den hauseigenen Sicherheitsvorkehrungen aufgedeckt sowie blockiert wurden. Auch an dieser Stelle erhalten die Unternehmen Auskünfte davon, wie Bedrohungsakteure ins Unternehmensnetzwerk kommen und agieren. - Cloudbasierte Breach-and-Attack-Simulations-Tools:
Beim Gebrauch cloudbasierter Breach-and-Attack-Simulations-Modelle wird die zu schützende IT-Infrastruktur von extern kontinuierlich sowie rund um die Uhr in Echtzeit mit simulierten Angriffsversuchen penetriert.
Penetrationstest versus Breach-and-Attack-Simulation!
Bislang haben etliche Firmen meist externe Dienstleistungsunternehmen beauftragt, Penetrationstests durchzuführen. Allerdings dreht es sich dabei um punktuelle Prüfungen, die lediglich Aufklärung über den Sicherheitsstatus zum Testzeitpunkt liefern. Werden nach diesem Penetrationstest Anpassungen vorgenommen, heißt das nahezu immer auch eine Modifikation des Sicherheitsstatus. Auf diese Weise bleiben Sicherheitslücken unentdeckt, die selbst durch minimale Änderungen an den Unternehmenssystemen entstehen. Ebenso werden frühere, bereits gepatchte Schwächen von Angreifern ausgebeutet.
Deshalb vertrauen immer mehr Firmen auf Breach-and-Attack-Simulations-Methoden.
Der große Vorteil von Angriffssimulationen im Unterschied zu Penetrationstests oder Vulnerability-Scans besteht darin, dass sie Klarheit darüber geben, welche Attacken auf welche Art und Weise passieren. Demzufolge steigen Durchsichtigkeit und die Erfolgsrate bei der Behebung von Sicherheitsmängeln, Schwachstellen sowie Fehlkonfigurationen. Ferner können IT-Verantwortliche die Infrastruktur besser sichern, da simulierte Attacken zu einer verbesserten Beurteilung von IT-Sicherheitsgefahren beitragen und helfen, die Bedenken der Beteiligten zu verkleinern, im Ernstfall notwendige Entscheidungen zu treffen.
Mit Scheinangriffen so agil werden wie die Bedrohungsakteure selbst
Um der dynamischen Bedrohungslandschaft gegenwärtig gewachsen zu bleiben, sind Firmen gut beraten, schlagkräftige Sicherheitsmechanismen zu implementieren. Die optimale Abwehr gegen raffinierte Angriffe krimineller Bedrohungsakteure liegt deshalb darin, den selben Ansatz zu wählen wie Bedrohungsakteure sowie proaktiv nach geeigneten Angriffswegen zu forschen.
Breach-and-Attack-Simulations-Lösungen legen hierfür ein zeitgemäßes sowie agiles Tool dar. Sie bieten mit permanenten Scheinangriffen auf die IT-Sicherheitsumgebung in Echtzeit nicht nur einen aktuellen sowie detaillierten Überblick über die Gefährdungslage in einem Betrieb – sie machen auch klar, an welchem Ort sich Schwachstellen verbergen und wie ein Eindringling ins Unternehmensnetzwerk gelangen und handeln kann.
