
Breach and Attack Simulation: Mehr IT-Sicherheit durch simulierte Internetangriffe!
Der Krieg gegen Internetkriminelle ähnelt einem Wettlauf zwischen dem Hasen und dem Igel.
Immerzu, sobald sich der Hase als Erster im Ziel sieht, meldet sich der Igel mit einem frechen „Ich bin schon hier!“. Tatsache ist, Internetkriminelle sind heutzutage IT-Verantwortlichen meist einen Step voran.
Daher sind die häufigen sowie gezielten Neubewertungen von IT-Risiken, als auch die der getroffenen technischen und organisatorischen Sicherheitsvorkehrungen, eine unabdingbare Grundlage für Firmen. Neben Penetrationstests sowie Schwachstellenscans kommt deshalb vielerorts immer öfter Breach- and- Attack- Simulation zum Einsatz.
Was sich hier verbirgt, welche Vorteile diese im Gegensatz zu Penetrationstests bietet und warum sich jede Firma mit der Thematik auseinandersetzen sollte, lesen Sie in unserem nachfolgenden Beitrag.
Die weltweite IT-Sicherheitslage hat sich in der neusten Vergangenheit einschneidend verändert: Netzwerke von Unternehmen werden mit wachsendem Digitalisierungsgrad, immer stärker werdender Cloud-Konnektivität wie auch zunehmender Anbindung mobiler sowie internetfähiger Endgeräte immer umfangreicher, vielschichtiger sowie dynamischer – und somit gleichfalls anfälliger für IT-Bedrohungen. Simultan erfährt die Internetkriminalität eine steigende Entwicklung. Schon lange floriert im Untergrund ein hervorragend verwaltetes kriminelles Netzwerk mit divergenten Akteuren sowie unterschiedlichen Methoden sowie Dienstleistungen.
Auf diese Weise können eifrige Bedrohungsakteure, dem Dark Web Price Index 2022 von Privacy Affairs
zufolge, bereits für 200 US-Dollar einen 24-stündigen DDoS-Angriff mit 20.000 bis 50.000 Anfragen pro Sekunde auf eine gut gesicherte Webseite kaufen.
Um dieser komplexen und dynamischen Bedrohungslage effektiv zu begegnen, sind umfassende Abwehrmechanismen gefordert. Dazu gehören außer robusten IT-Sicherheitsvorkehrungen sowie hohen IT-Sicherheitsstandards ebenso Werkzeuge, mit welchen sich die Qualität wie auch Effizienz der vorhandenen Sicherheitsinfrastruktur beständig begutachten, ermitteln und bewerten lässt.
Genau an dieser Stelle kommt die sogenannte Breach- and- Attack- Simulations-Lösung, kurz BAS, zum Einsatz.
Wie ein Hacker denken!
Bei Breach-and-Attack-Simulations-Lösungen dreht es sich um fortschrittliche Testmethoden, welche in Echtzeit beständig lebensnahe Angriffe auf die eingesetzten IT-Sicherheitstechnologien vortäuschen, um die Bedrohungs- sowie Angriffserkennung, Minderungs- und Präventionsfähigkeit sowie die Gefahrenabwehr eines Unternehmens zu prüfen.
Auf diese Weise sind IT-Verantwortliche in der Lage, exakt zu eruieren, wie wirksam die vorhandene IT-Sicherheitsumgebung gegenüber reellen Angriffsversuchen ist und an welchem Ort sich organisatorische, prozedurale oder technische Mängel verbergen.
Hierbei sind Breach-and-Attack-Simulations-Systeme in der Position, verschiedene Vektoren anzugreifen, und zwar so, wie das ein Attackierender tun wird. Selbige reichen von Phishing-Angriffsversuchen auf E-Mail-Strukturen, über Angriffe auf die Firewall bis hin zur Simulation einer möglichen Datenexfiltration.
Damit die Angriffsvektoren stets auf dem neuesten Stand sind, speisen sich die meisten Breach-and-Attack-Systeme aus unterschiedlichen Quellen mit den neuesten Bedrohungen.
Zur selben Zeit werden die Details dieser selbst ausgelösten Scheinattacken minutiös aufgezeichnet.
Breach-and-Attack-Simulation: Funktionsweise!
Werfen wir erst einmal einen Blick auf die allgemeine Funktionsweise einer Breach-and-Attack- Simulations-Lösung.
Im ersten Schritt werden im Netzwerk BAS-Agenten ausgelegt. Dabei dreht es sich im einfachsten Fall um schmalspurige fiktive Geräte, knapp VMs, oder auch um Software-Pakete, welche auf den Clients sowie Servern im Netz installiert werden müssen.
Im zweiten Schritt werden die denkbaren Angriffspfade definiert und dem Breach-and-Attack- Simulations-System wird beigebracht, wie das Unternehmensnetzwerk aufgebaut ist und welche IT-Sicherheitskontrollen sich zwischen welchen Agenten wiederfinden.
Auf diese Weise ist das System qualifiziert, eine Regel-Optimierung für die jeweiligen Sicherheitskomponenten vorzuschlagen.
Im nächsten Step wird der „Angriff“ zwischen den Agenten geplant sowie ausgeführt.
Dazu werden entsprechend der Breach-and-Attack-Simulations-Lösung von Hand oder per Templates eine Reihe möglicher Angriffe definiert.
Das kann sehr verschieden ausschauen:
· Ein Agent im Client-Netz probiert, mehrere TCP-Verbindungen auf einige Ports des Agenten im Datenbank-VLAN anzugreifen
· Ein Agent in einem Server-Netz schickt Pakete zum Agenten im Datenbank-VLAN, welche auf eine vertraute IPS-Signatur (IPS: Abgekürzt für Intrusion Prevention System) passen, beispielsweise ein Exploit gegen eine bekannte Schwäche.
· Ein Agent aus dem Internet sendet einen HTTP-Request mit einer SQL-Injection durch die Wireless Application Firewall, kurz WAF, zu dem Agenten, welcher angrenzend der Webanwendung „XYZ“ liegt
Nach diesem Modell lassen sich verschiedene potenzielle Angriffsszenarien durchexerzieren. Die Effektivität der Ergebnisse hängt hingegen davon ab, wie der jeweilige Erzeuger jene in seinem Produkt aufbereitet.
Breach-and-Attack-Simulation-Systeme auf einen Blick!
Erfolgreich simulierte Angriffe sind hilfreich, um Schwachstellen erkennen sowie die richtigen Maßnahmen ergreifen zu können wie auch um diese zu schließen, ehe ein wirklicher Schadensfall entsteht.
Es gibt drei verschiedene Typen von Breach-and-Attack-Simulations-Tools:
· Agenten-basierte Breach-and-Attack-Simulations-Tools:
agentenbasierte Angriffssimulationslösungen sind die einfachste Form von Breach- and- Attack- Simulation. Dabei werden Agenten im gesamten LAN eingesetzt und es wird mittels gefundener Schwachstellen festgelegt, welche Angriffspfade möglichen Bedrohungsakteuren offenstehen, um sich im Unternehmensnetzwerk zu bewegen. Agenten-basierte Breach-and-Attack-Simulations-Tools weisen immense Parallelen zu Schwachstellen-Scans auf, bieten aber deutlich mehr Kontext.
Auf „böswilligem“ Datenverkehr basierende Breach-and-Attack-Simulations-Tools:
· Agenten-basierte Breach-and-Attack-Simulations-Tools:
agentenbasierte Angriffssimulationslösungen sind die einfachste Form von Breach- and- Attack- Simulation. Dabei werden Agenten im gesamten LAN eingesetzt und es wird mittels gefundener Schwachstellen festgelegt, welche Angriffspfade möglichen Bedrohungsakteuren offenstehen, um sich im Unternehmensnetzwerk zu bewegen. Agenten-basierte Breach-and-Attack-Simulations-Tools weisen immense Parallelen zu Schwachstellen-Scans auf, bieten aber deutlich mehr Kontext.
· Auf „böswilligem“ Datenverkehr basierende Breach-and-Attack-Simulations-Tools:
Jene Angriffssimulationslösungen erstellen inmitten des Unternehmensnetzwerks signifikanten Datenverkehr zwischen extra dafür festgelegten virtuellen Maschinen, welche als Angriffsziele für verschiedenste Angriffsszenarien fungieren. Es wird dann eine Gesamtschau erstellt, welche Vorkommnisse nicht von den eigenen Sicherheitsvorkehrungen aufgedeckt sowie verhindert wurden. Ebenso hier bekommen die Unternehmen Informationen davon, wie Bedrohungsakteure ins Unternehmensnetzwerk gelangen und agieren.
· Cloudbasierte Breach-and-Attack-Simulations-Tools:
Beim Einsatz cloudbasierter Breach-and-Attack-Simulations-Modelle wird die zu sichernde IT-Infrastruktur von außen kontinuierlich sowie rund um die Uhr in Echtzeit mit simulierten Angriffen penetriert.
Nach dem Penetrationstest ist vor dem Penetrationstest!
Bisher haben viele Unternehmen zumeist außerbetriebliche Dienstleistungsunternehmen engagiert, Penetrationstests umzusetzen. Allerdings dreht es sich hierbei um punktgenaue Prüfungen, welche lediglich Aufschluss über den Sicherheitsstatus zum Testzeitpunkt liefern. Werden nach diesem Penetrationsverfahren Änderungen vorgenommen, heißt das nahezu immer auch eine Modifikation des Sicherheitsstatus. Auf diese Weise bleiben Sicherheitslücken unentdeckt, welche selbst durch minimale Änderungen an den Unternehmenssystemen entstehen. Ferner werden frühere, bereits gepatchte Schwächen von Angreifern ausgebeutet.
Deshalb setzen stets mehr Firmen auf Breach-and-Attack-Simulations-Methoden.
Der große Vorteil von Angriffssimulationen im Unterschied zu Penetrationstests oder Vulnerability-Scans besteht darin, dass sie Gewissheit über die Tatsache verschaffen, welche Angriffe auf welche Art und Weise stattfinden. Dadurch steigen Transparenz und die Success Rate bei der Beseitigung von Sicherheitsmängeln, Schwachstellen und Fehlkonfigurationen. Ferner können IT-Verantwortliche die Infrastruktur besser schützen, da simulierte Attacken zu einer verbesserten Wahrnehmung von IT-Sicherheitsrisiken führen und helfen, die Bedenken der Beteiligten zu reduzieren, im Ernstfall nötige Entscheidungen zu treffen.
Komplexe IT-Gefahren im Keim ersticken und Planungssicherheit schaffen!
Um der dynamischen Bedrohungslandschaft gegenwärtig gewachsen zu sein, sind Firmen gut beraten, wirksame Sicherheitsmechanismen zu implementieren.
Die beste Abwehr gegen ausgekochte Angriffe krimineller Bedrohungsakteure liegt daher darin, den gleichen Ansatz aufzusuchen wie Bedrohungsakteure und initiativ nach möglichen Angriffswegen zu forschen.
Breach-and-Attack-Simulations-Lösungen legen hierfür ein zeitgemäßes und agiles Werkzeug dar. Sie zeigen mit steten Scheinangriffen auf die IT-Sicherheitslandschaft in Echtzeit nicht bloß einen aktuellen und detaillierten Überblick über die Gefährdungslage in einem Unternehmen – sie machen auch deutlich, wo sich Schwächen verbergen und wie ein Eindringling ins Unternehmensnetzwerk kommen sowie handeln kann.
Möchten auch Sie die Robustheit und die Resilienz Ihrer IT-Landschaft mit professionellen Angriffssimulationslösungen optimieren? Oder haben Sie noch Fragen zum Thema?