Breach and Attack Simulation: Blindflug in der IT-Sicherheit war gestern!
Der Kampf gegen Internetkriminelle gleicht dem Wettrennen zwischen dem Hasen und dem Igel. Immer, wenn sich der Hase als Erster im Ziel wähnt, meldet sich der Igel mit einem kecken „Ich bin schon hier!“. Fakt ist, Internetkriminelle sind heutzutage IT-Verantwortlichen meist einen Step voran. Daher sind die häufigen sowie gezielten Neubewertungen von IT-Risiken, als auch die der getroffenen technischen sowie organisatorischen Sicherheitsvorkehrungen, eine unabdingbare Grundlage für Firmen. Neben Penetrationstests sowie Schwachstellenscans kommt deshalb an vielen Orten immer häufiger Breach- and- Attack- Simulation zum Einsatz. Was sich hier versteckt, welche Nutzeffekte diese im Gegensatz zu Penetrationstests bringt und warum sich jedes Unternehmen mit dieser Thematik auseinandersetzen sollte, liest du in unserem nachfolgenden Blogbeitrag.
Die globale IT-Sicherheitslage hat sich in der jüngsten Vergangenheit einschneidend geändert: Netzwerke von Unternehmen werden mit wachsendem Digitalisierungsgrad, immer stärker werdender Cloud-Konnektivität wie auch wachsender Anbindung mobiler und internetfähiger Endgeräte immer größer, vielschichtiger sowie dynamischer – und damit auch angreifbarer für IT-Bedrohungen. Gleichzeitig durchlebt die Internetkriminalität eine steigende Entwicklung. Schon lange floriert im Untergrund ein sehr gut organisiertes kriminelles Netzwerk mit divergenten Akteuren sowie unterschiedlichen Tools und Serviceleistungen.
Auf diese Weise können eifrige Bedrohungsakteure, dem Dark Web Price Index 2022 von Privacy Affairs zufolge, schon für 200 US-Dollar einen 24-stündigen DDoS-Angriff mit 20.000 bis 50.000 Anfragen pro Sekunde auf eine gut geschützte Webseite erwerben.
Um dieser umfassenden sowie dynamischen Bedrohungslage wirkungsvoll entgegen zu treten, sind umfangreiche Abwehrmechanismen gefordert. Dazu zählen außer stabilen IT-Sicherheitsvorkehrungen sowie hohen IT-Sicherheitsstandards auch Tools, mit denen sich die Qualität und Effizienz der vorhandenen Sicherheitsinfrastruktur beständig begutachten, messen und bewerten lässt.
Exakt hier kommt die sogenannte Breach- and- Attack- Simulations-Lösung, knapp BAS, zum Tragen.
Breach-and-Attack-Simulation: Was ist das überhaupt?
Bei Breach-and-Attack-Simulations-Lösungen dreht es sich um fortschrittliche Testmethoden, die in Echtzeit kontinuierlich lebensnahe Angriffe auf die eingesetzten IT-Sicherheitstechnologien vortäuschen, um eine Bedrohungs- und Angriffserkennung, Minderungs- und Präventionsfähigkeit sowie die Gefahrenabwehr eines Betriebs zu testen.
Auf diese Weise sind IT-Verantwortliche in der Position, exakt herauszufinden, wie wirksam die vorhandene IT-Sicherheitsumgebung gegenüber reellen Angriffsversuchen ist und an welchem Ort sich organisatorische, prozedurale oder technische Mängel verbergen.
Hierbei sind Breach-and-Attack-Simulations-Lösungen in der Lage, verschiedene Vektoren anzugreifen, und zwar derart, wie dies ein Attackierender tun wird. Diese reichen von Phishing-Angriffsversuchen auf E-Mail-Systeme, via Angriffe auf die Firewall bis hin zu einer Simulation einer Datenexfiltration.
Mit dem Ziel, dass die Angriffsvektoren immerzu auf dem aktuellen Stand sind, speisen sich die meisten Breach-and-Attack-Systeme aus verschiedenen Quellen mit den allerneuesten Bedrohungen.
Zur selben Zeit werden die Details dieser selbst ausgelösten Scheinattacken minütlich aufgezeichnet.
Breach-and-Attack-Simulation: Wie erfolgt der Scheinangriff eigentlich?
Richten wir erst einmal einen Blick auf die generelle Arbeitsweise einer Breach-and-Attack- Simulations-Methode.
Im allerersten Schritt werden im Computernetz BAS-Agenten verteilt. Hierbei handelt es sich im einfachsten Fall um schmalspurige fiktive Geräte, kurz VMs, oder aber um Software-Pakete, die auf den Clients sowie Servern im Netz eingerichtet werden müssen.
Im nächsten Schritt werden die möglichen Angriffspfade definiert und dem Breach-and-Attack- Simulations-System wird beigebracht, wie das Unternehmensnetzwerk gebildet ist und welche IT-Sicherheitskontrollen sich zwischen ihren Agenten wiederfinden. Auf diese Weise ist das System qualifiziert, eine Regel-Optimierung für die einzelnen Sicherheitskomponenten vorzuschlagen.
Im nächsten Step wird der „Angriff“ zwischen den Agenten angelegt sowie durchgeführt.
Hierzu werden gemäß der Breach-and-Attack-Simulations-Lösung von Hand oder per Templates eine Serie möglicher Angriffe definiert.
Das kann sehr verschieden ausschauen:
· Der Agent im Client-Netz versucht, mehrere TCP-Verbindungen auf unterschiedliche Ports des Agenten im Datenbank-VLAN anzugreifen
· Der Agent in einem Server-Netz sendet Pakete zum Agenten im Datenbank-VLAN, welche auf eine bekannte IPS-Signatur (IPS: Abgekürzt für Intrusion Prevention System) passen, etwa ein Exploit gegen eine bekannte Schwäche.
· Ein Agent aus dem Internet schickt einen HTTP-Request mit einer SQL-Injection durch die Wireless Application Firewall, kurz WAF, zu dem Agenten, der angrenzend der Webanwendung „XYZ“ sitzt
Nach diesem Modell lassen sich unterschiedliche potenzielle Angriffsszenarien durchspielen. Die Qualität der Ergebnisse hängt hingegen davon ab, wie der entsprechende Hersteller jene in seinem Produkt optimiert.
Breach-and-Attack-Simulation: Die verschiedenen Lösungen auf einen Blick!
Erfolgreich simulierte Angriffe sind hilfreich, um Schwachpunkte erkennen sowie die geeigneten Maßnahmen aufgreifen zu können wie auch um diese zu versiegeln, ehe ein echter Schaden passiert.
Es gibt drei unterschiedliche Typen von Breach-and-Attack-Simulations-Tools:
· Agenten-basierte Breach-and-Attack-Simulations-Tools:
agentenbasierte Angriffssimulationslösungen sind die einfachste Form von Breach- and- Attack- Simulation. Dabei werden Agenten im gesamten LAN eingebaut und es wird mittels gefundener Schwachstellen bestimmt, welche Angriffspfade möglichen Bedrohungsakteuren offen sind, um sich im Unternehmensnetzwerk aufzuhalten. Agenten-basierte Breach-and-Attack-Simulations-Tools weisen immense Parallelen zu Schwachstellen-Scans auf, haben aber erheblich mehr Kontext.
· Auf „böswilligem“ Datenverkehr basierende Breach-and-Attack-Simulations-Tools:
Jene Angriffssimulationslösungen erstellen inmitten des Unternehmensnetzwerks auffälligen Datenverkehr zwischen extra dafür festgelegten virtuellen Maschinen, die als Angriffsziele für verschiedenste Angriffsszenarien fungieren. Es wird dann eine Übersicht erstellt, welche Vorkommnisse nicht von den hauseigenen Sicherheitsvorkehrungen aufgedeckt sowie blockiert wurden. Auch hier bekommen die Firmen Auskünfte darüber, wie Bedrohungsakteure ins Unternehmensnetzwerk gelangen sowie handeln.
· Cloudbasierte Breach-and-Attack-Simulations-Tools:
Beim Gebrauch cloudbasierter Breach-and-Attack-Simulations-Systeme wird die zu sichernde IT-Infrastruktur von außen konstant sowie jederzeit in Echtzeit mit simulierten Angriffen belästigt.
Penetrationstest versus Breach-and-Attack-Simulation!
Bislang haben viele Unternehmen zumeist externe Dienstleistungsunternehmen beauftragt, Penetrationstests umzusetzen. Allerdings dreht es sich hierbei um punktuelle Kontrollen, welche ausschließlich Aufschluss über den Sicherheitsstatus zum Testzeitpunkt geben. Werden nach diesem Penetrationsverfahren Anpassungen durchgeführt, heißt das nahezu immer auch eine Veränderung des Sicherheitsstatus. Auf diese Weise bleiben Sicherheitslücken unentdeckt, die selbst durch kleinste Veränderungen an den Unternehmenssystemen entstehen. Ebenso werden frühere, schon gepatchte Schwächen von Angreifern ausgebeutet.
Vor diesem Hintergrund setzen stets mehr Unternehmen auf Breach-and-Attack-Simulations-Tools.
Der große Vorteil von Angriffssimulationen gegenüber Penetrationstests oder Vulnerability-Scans liegt darin, dass sie Klarheit über die Tatsache geben, welche Angriffe auf welche Art und Weise stattfinden. Dadurch steigen Durchsichtigkeit und die Success Rate bei der Beseitigung von Sicherheitsmängeln, Schwachpunkten sowie Fehlkonfigurationen. Darüber hinaus können IT-Verantwortliche ihre Infrastruktur effizienter schützen, da simulierte Angriffe zu einer erhöhten Wahrnehmung von IT-Sicherheitsrisiken führen und helfen, die Angst der Involvierten zu verkleinern, im Ernstfall nötige Entscheidungen zu treffen.
Breach-and-Attack-Simulation: Perspektivwechsel macht gefährliche Internetangriffe erlebbar!
Um der größer werdenden Bedrohungslandschaft von heute gewachsen zu sein, sind Firmen gut beraten, wirksame Sicherheitsmechanismen zu implementieren.
Die beste Verteidigung gegen ausgekochte Angriffe krimineller Bedrohungsakteure liegt daher darin, den selben Ansatz zu wählen wie Bedrohungsakteure und proaktiv nach geeigneten Angriffswegen zu suchen.
Breach-and-Attack-Simulations-Lösungen legen dafür ein zeitgemäßes sowie agiles Tool dar. Sie bieten mit permanenten Scheinangriffen auf die IT-Sicherheitsumgebung in Echtzeit nicht nur einen aktuellen und genauen Gesamtüberblick über die Gefährdungslage in einem Betrieb – sie machen auch deutlich, an welchem Ort sich Schwachstellen verstecken und wie ein Eindringling ins Unternehmensnetzwerk kommen und agieren kann.
Möchtest du auch die Robustheit und die Resilienz deiner IT-Landschaft mit professionellen Angriffssimulationslösungen verbessern? Oder hast du noch Fragen zum Thema? Sprich uns an!