Breach and Attack Simulation: IT-Schwachstellen erkannt, IT-Schwachstellen gebannt!
Der Krieg gegen Internetkriminelle gleicht einem Wettrennen zwischen dem Hasen und dem Igel. Immerzu, sobald sich der Hase als Erster am Ziel wähnt, meldet sich der Igel mit einem kecken „Ich bin schon da!“. Tatsache ist, Internetkriminelle sind heutzutage IT-Verantwortlichen meistens einen Schritt voran. Deshalb sind die regelmäßigen sowie gezielten Neubewertungen von IT-Risiken, als auch die der getroffenen technischen und organisatorischen Sicherheitsweisungen, eine nötige Grundlage für Firmen. Neben Penetrationstests sowie Schwachstellenscans kommt deshalb an vielen Orten immer häufiger Breach- and- Attack- Simulation zum Einsatz. Was sich dahinter versteckt, welche Nutzeffekte sie gegenüber Penetrationstests bringt und warum sich jedes Unternehmen mit dieser Materie beschäftigen sollte, lesen Sie in dem nachfolgenden Beitrag.
Die globale IT-Sicherheitslage hat sich in der neusten Vergangenheit einschneidend geändert: Netzwerke von Unternehmen werden mit wachsendem Digitalisierungsgrad, immer stärker werdender Cloud-Konnektivität sowie zunehmender Anbindung mobiler und internetfähiger Endgeräte zunehmend größer, vielschichtiger und dynamischer – und damit auch angreifbarer für IT-Bedrohungen. Simultan erfährt die Internetkriminalität eine steigende Weiterentwicklung. Längst floriert im Untergrund ein hervorragend verwaltetes kriminelles Netzwerk mit divergenten Akteuren und vielfältigen Tools und Serviceleistungen.
Auf diese Weise können interessierte Bedrohungsakteure, dem Dark Web Price Index 2022 von Privacy Affairs
zufolge, schon für 200 US-Dollar einen 24-stündigen DDoS-Angriff mit 20.000 bis 50.000 Anfragen pro Sekunde auf eine gut gesicherte Webseite erwerben.
Um dieser komplexen sowie dynamischen Bedrohungslage wirkungsvoll zu begegnen, sind umfassende Abwehrmechanismen gefragt. Dazu gehören neben robusten IT-Sicherheitsvorkehrungen und hohen IT-Sicherheitsstandards ebenso Werkzeuge, mit denen sich die Effektivität wie auch Nützlichkeit der vorhandenen Sicherheitsinfrastruktur beständig begutachten, ermitteln sowie evaluieren lässt.
Genau hier kommt die sogenannte Breach- and- Attack- Simulations-Lösung, knapp BAS, zum Einsatz.
Wie ein Hacker denken!
Bei Breach-and-Attack-Simulations-Lösungen handelt es sich um fortschrittliche Testmethoden, welche in Echtzeit beständig lebensnahe Angriffe auf die benutzten IT-Sicherheitstechnologien vortäuschen, um die Bedrohungs- und Angriffserkennung, Minderungs- und Präventionsfähigkeit ebenso wie die Gefahrenabwehr eines Betriebs zu testen.
Auf diese Weise sind IT-Verantwortliche in der Lage, exakt zu eruieren, wie effektiv die gegebene IT-Sicherheitsumgebung mit reellen Angriffen ist und an welchem Ort sich organisatorische, prozedurale oder technische Schwächen verstecken.
Hierbei sind Breach-and-Attack-Simulations-Systeme in der Position, verschiedene Vektoren zu attackieren, und zwar derart, wie dies ein Angreifer tun würde. Selbige reichen von Phishing-Angriffen auf E-Mail-Systeme, über Angriffe auf die Firewall bis hin zur Simulation einer Datenexfiltration.
Mit dem Ziel, dass die Angriffsvektoren immerzu auf dem aktuellen Stand sind, speisen sich die allermeisten Breach-and-Attack-Systeme aus verschiedenen Quellen mit den neuesten Bedrohungen.
Gleichzeitig werden die Elemente jener selbst ausgelösten Scheinattacken minütlich aufgenommen.
Breach-and-Attack-Simulation: Wie funktioniert Breach-and-Attack-Simulation eigentlich?
Werfen wir zunächst den Blick auf die generelle Arbeitsweise einer Breach-and-Attack- Simulations-Lösung.
Im allerersten Schritt werden im Computernetz BAS-Agenten ausgelegt. Dabei dreht es sich im simpelsten Fall um schmalspurige fiktive Maschinen, kurz VMs, oder auch um Software-Pakete, welche auf den Clients sowie Servern im Netz eingerichtet werden müssen.
Im nächsten Schritt werden die denkbaren Angriffspfade definiert und dem Breach-and-Attack- Simulations-System wird angelernt, wie das Unternehmensnetzwerk gebildet ist und welche IT-Sicherheitskontrollen sich zwischen welchen Agenten befinden. So ist das System in der Lage eine Regel-Optimierung für die jeweiligen Sicherheitskomponenten vorzuschlagen.
Im weiteren Step wird der „Angriff“ zwischen den Agenten angelegt und ausgeführt.
Hierzu werden gemäß der Breach-and-Attack-Simulations-Lösung manuell oder per Templates eine Reihe eventueller Angriffe bestimmt.
Das kann sehr unterschiedlich ausschauen:
- Ein Agent im Client-Netz versucht, mehrere TCP-Verbindungen auf unterschiedliche Ports des Agenten im Datenbank-VLAN anzugreifen
- Der Agent in einem Server-Netz sendet Pakete zum Agenten im Datenbank-VLAN, die auf eine vertraute IPS-Signatur (IPS: Abgekürzt für Intrusion Prevention System) passen, beispielsweise ein Exploit gegen eine geläufige Schwäche.
- Ein Agent aus dem Web schickt einen HTTP-Request mit einer SQL-Injection durch die Wireless Application Firewall, kurz WAF, zu dem Agenten, der neben der Webanwendung „XYZ“ sitzt
Nach diesem Muster lassen sich verschiedene mögliche Angriffsszenarien durchspielen. Die Effektivität der Resultate hängt wiederum davon ab, wie der jeweilige Erzeuger jene in seinem Produkt aufbereitet.
Breach-and-Attack-Simulation-Systeme auf einen Blick!
Erfolgreich simulierte Angriffe sind nützlich, um Schwachstellen erkennen sowie die geeigneten Optimierungen ergreifen zu können und um diese zu schließen, ehe ein echter Schaden passiert.
Es gibt drei verschiedene Arten von Breach-and-Attack-Simulations-Tools:
- Agenten-basierte Breach-and-Attack-Simulations-Tools:
agentenbasierte Angriffssimulationslösungen sind die einfachste Fasson von Breach- and- Attack- Simulation. Dabei werden Agenten im kompletten LAN eingesetzt und es wird anhand gefundener Schwachpunkte bestimmt, welche Angriffspfade möglichen Bedrohungsakteuren offen sind, um sich im Unternehmensnetzwerk zu bewegen. Agenten-basierte Breach-and-Attack-Simulations-Tools weisen immense Ähnlichkeiten zu Schwachstellen-Scans auf, haben aber erheblich mehr Kontext. - Auf „böswilligem“ Datenverkehr basierende Breach-and-Attack-Simulations-Tools:
Diese Angriffssimulationslösungen erstellen inmitten des Unternehmensnetzwerks auffälligen Datentraffic zwischen extra dafür festgelegten virtuellen Maschinen, die als Angriffsziele für unterschiedlichste Angriffsszenarien dienen. Es wird anschließend eine Gesamtschau erarbeitet, welche Ereignisse nicht von den hauseigenen Sicherheitsvorkehrungen aufgedeckt und verhindert wurden. Auch an dieser Stelle erhalten die Firmen Informationen darüber, wie Bedrohungsakteure ins Unternehmensnetzwerk kommen sowie handeln. - Cloudbasierte Breach-and-Attack-Simulations-Tools:
Beim Einsatz cloudbasierter Breach-and-Attack-Simulations-Modelle wird die zu schützende IT-Infrastruktur von außen konstant und jederzeit in Echtzeit mit simulierten Angriffsversuchen penetriert.
Penetrationstest versus Breach-and-Attack-Simulation!
Bisher haben etliche Unternehmen meist externe Dienstleistungsunternehmen engagiert, Penetrationstests umzusetzen. Allerdings dreht es sich hierbei um punktgenaue Kontrollen, die ausschließlich Aufklärung über den Sicherheitsstatus zum Testzeitpunkt geben. Werden nach dem Penetrationstest Änderungen vorgenommen, heißt dies fast immer auch eine Veränderung des Sicherheitsstatus. So bleiben Sicherheitslücken unentdeckt, die selbst durch minimale Veränderungen an den Unternehmenssystemen auftreten. Ferner werden alte, bereits gepatchte Schwächen von Angreifern ausgebeutet.
Vor diesem Hintergrund vertrauen immer mehr Unternehmen auf Breach-and-Attack-Simulations-Tools.
Der gewaltige Pluspunkt von Angriffssimulationen gegenüber Penetrationstests oder Vulnerability-Scans liegt darin, dass diese Klarheit über die Tatsache verschaffen, welche Angriffe auf welche Art und Weise passieren. Demzufolge steigen Durchsichtigkeit und die Erfolgsrate bei der Beseitigung von Sicherheitsmängeln, Schwachpunkten und Fehlkonfigurationen. Ferner können IT-Verantwortliche ihre Infrastruktur effizienter schützen, da simulierte Attacken zu einer verbesserten Beurteilung von IT-Sicherheitsrisiken führen und helfen, die Angst der Involvierten zu verkleinern, im Falle eines Schadens nötige Entscheidungen zu treffen.
Mit Scheinangriffen so agil werden wie die Bedrohungsakteure selbst
Um der dynamischen Bedrohungslandschaft gegenwärtig gewachsen zu sein, sind Unternehmen gut beraten, schlagkräftige Sicherheitsmechanismen umzusetzen.
Die beste Verteidigung gegen raffinierte Angriffe krimineller Bedrohungsakteure besteht deshalb darin, den selben Ansatz zu wählen wie Bedrohungsakteure sowie proaktiv nach geeigneten Angriffswegen zu forschen.
Breach-and-Attack-Simulations-Systeme legen hierfür ein zeitgemäßes sowie agiles Werkzeug dar. Sie zeigen mit steten Scheinangriffen auf die IT-Sicherheitslandschaft in Echtzeit nicht nur einen momentanen und detaillierten Gesamtüberblick über die Gefährdungslage in einem Betrieb – sie machen auch deutlich, an welchem Ort sich Schwachstellen verbergen und wie ein Eindringling ins Unternehmensnetzwerk gelangen und handeln kann.
Wollen auch Sie die Robustheit und die Resilienz Ihrer IT-Landschaft mit professionellen Angriffssimulationslösungen verbessern? Oder haben Sie noch Ansuchen zum Thema? Sprechen Sie uns an!
