Der Kampf gegen Internetkriminelle gleicht einem Wettlauf zwischen dem Hasen und dem Igel. Immerzu, wenn sich der Hase an erster Stelle im Ziel sieht, meldet sich der Igel mit einem frechen „Ich bin schon hier!“. Tatsache ist, Internetkriminelle sind heutzutage IT-Verantwortlichen meist einen Step voran. Daher sind die regelmäßigen und gezielten Neubewertungen von IT-Gefahren, wie auch die der getroffenen technischen und organisatorischen Sicherheitsweisungen, eine unabdingbare Voraussetzung für Firmen. Neben Penetrationstests und Schwachstellenscans kommt deshalb an vielen Orten immer häufiger Breach- and- Attack- Simulation zum Einsatz. Was sich dahinter verbirgt, welche Nutzeffekte diese im Gegensatz zu Penetrationstests bietet und warum sich jede Firma mit dieser Thematik auseinandersetzen sollte, erfahren Sie in unserem folgenden Blogbeitrag. Die weltweite IT-Sicherheitslage hat sich in der jüngsten Vergangenheit einschneidend geändert: Netzwerke von Firmen werden mit steigendem Digitalisierungsgrad, verstärkter Cloud-Konnektivität wie auch wachsender Anbindung mobiler sowie internetfähiger Endgeräte zunehmend größer, vielschichtiger sowie dynamischer – und somit gleichfalls angreifbarer für IT-Bedrohungen. Gleichzeitig durchlebt die Internetkriminalität eine steigende Entwicklung. Längst floriert im Hintergrund ein hervorragend verwaltetes kriminelles Netzwerk mit divergenten Akteuren sowie unterschiedlichen Methoden sowie Dienstleistungen. Auf diese Weise können interessierte Bedrohungsakteure, dem Dark Web Price Index 2022 zufolge, schon für 200 US-Dollar einen 24-stündigen DDoS-Angriff mit 20.000 bis 50.000 Anfragen pro Sekunde auf eine gut geschützte Webseite kaufen. Um jener umfassenden und dynamischen Bedrohungslage wirkungsvoll entgegen zu treten, sind umfangreiche Abwehrmechanismen gefordert. Dazu zählen neben stabilen IT-Sicherheitsvorkehrungen und hohen IT-Sicherheitsstandards auch Werkzeuge, mit welchen sich die Qualität wie auch Effizienz der vorhandenen Sicherheitsinfrastruktur kontinuierlich überprüfen, messen sowie evaluieren lässt. Exakt an dieser Stelle kommt die besagte Breach- and- Attack- Simulations-Lösung, kurz BAS, zum Tragen.
Ich sehe was, was du nicht siehst!
Bei Breach-and-Attack-Simulations-Lösungen handelt es sich um moderne Testmethoden, welche in Echtzeit kontinuierlich lebensnahe Angriffe auf die eingesetzten IT-Sicherheitstechnologien simulieren, um die Bedrohungs- sowie Angriffserkennung, Minderungs- und Präventionsfähigkeit sowie die Gefahrenabwehr eines Unternehmens zu testen. So sind IT-Verantwortliche in der Lage, genau zu eruieren, wie effektiv die vorhandene IT-Sicherheitsumgebung mit reellen Angriffen ist und an welchem Ort sich organisatorische, prozedurale oder auch technische Schwächen verstecken. Dabei sind Breach-and-Attack-Simulations-Lösungen in der Lage, verschiedene Vektoren zu attackieren, und zwar derart, wie das ein Angreifer tun wird. Selbige reichen von Phishing-Angriffsversuchen auf E-Mail-Systeme, via Angriffe auf die Firewall bis hin zur Simulation einer möglichen Datenexfiltration. Mit dem Ziel, dass die Angriffsvektoren immerzu auf dem aktuellen Stand sind, speisen sich die meisten Breach-and-Attack-Systeme aus verschiedenen Quellen mit den allerneuesten Bedrohungen. Zur selben Zeit werden die Elemente jener selbst ausgelösten Scheinattacken minutiös aufgezeichnet.
Breach-and-Attack-Simulation: Wie funktioniert Breach-and-Attack-Simulation eigentlich?
Richten wir erst einmal den Blick auf die allgemeine Funktionsweise einer Breach-and-Attack- Simulations-Methode. Im allerersten Schritt werden im Computernetz BAS-Agenten ausgelegt. Hierbei handelt es sich im einfachsten Fall um schmalspurige virtuelle Geräte, kurz VMs, oder auch um Software-Pakete, welche auf den Clients und Servern im Netz installiert werden sollen. Im zweiten Schritt werden die denkbaren Angriffspfade bestimmt und dem Breach-and-Attack- Simulations-System wird angelernt, wie das Unternehmensnetzwerk gebildet ist und welche IT-Sicherheitskontrollen sich zwischen ihren Agenten wiederfinden. Auf diese Weise ist das System qualifiziert, eine Regel-Optimierung für die jeweiligen Sicherheitskomponenten vorzuschlagen. Im nächsten Step wird der „Angriff“ zwischen den Agenten geplant und ausgeführt. Hierzu werden entsprechend der Breach-and-Attack-Simulations-Lösung manuell oder per Templates eine Reihe eventueller Angriffe bestimmt.
Das kann äußerst verschieden aussehen:
- Der Agent im Client-Netz versucht, ein paar TCP-Verbindungen auf unterschiedliche Ports des Agenten im Datenbank-VLAN anzugreifen
- Der Agent in einem Server-Netz sendet Pakete zum Agenten im Datenbank-VLAN, welche auf eine bekannte IPS-Signatur (IPS: Abkürzung für Intrusion Prevention System) passen, beispielsweise ein Exploit gegen eine bekannte Schwachstelle.
- Ein Agent aus dem Web schickt einen HTTP-Request mit einer SQL-Injection durch die Wireless Application Firewall, knapp WAF, zu dem Agenten, welcher angrenzend der Webanwendung „XYZ“ liegt
Nach diesem Modell lassen sich unterschiedliche mögliche Angriffsszenarien durchspielen. Die Effektivität der Resultate hängt wiederum hiervon ab, wie der entsprechende Erzeuger jene in seinem Produkt aufbereitet.
Breach-and-Attack-Simulation: Die verschiedenen Lösungen auf einen Blick!
Mit Erfolg simulierte Angriffe sind nützlich, um Schwachstellen erkennen und die geeigneten Optimierungen ergreifen zu können und um sie zu versiegeln, bevor ein wirklicher Schadensfall entsteht.
Es gibt drei verschiedene Arten von Breach-and-Attack-Simulations-Tools:
- Agenten-basierte Breach-and-Attack-Simulations-Tools: agentenbasierte Angriffssimulationslösungen sind die einfachste Fasson von Breach- and- Attack- Simulation. Dabei werden Agenten im gesamten LAN eingesetzt und es wird anhand gefundener Schwachpunkte bestimmt, welche Angriffspfade möglichen Bedrohungsakteuren offenstehen, um sich im Unternehmensnetzwerk aufzuhalten. Agenten-basierte Breach-and-Attack-Simulations-Tools weisen immense Ähnlichkeiten zu Schwachstellen-Scans auf, haben aber deutlich mehr Kontext.
- Auf „böswilligem“ Datenverkehr basierende Breach-and-Attack-Simulations-Tools: Diese Angriffssimulationslösungen erstellen inmitten des Unternehmensnetzwerks signifikanten Datenverkehr zwischen gezielt dafür vorgesehenen virtuellen Maschinen, die als Angriffsziele für verschiedenste Angriffsszenarien dienen. Es wird dann eine Übersicht erarbeitet, welche Vorkommnisse nicht von den hauseigenen Sicherheitsvorkehrungen aufgedeckt und verhindert wurden. Ebenso hier bekommen die Firmen Auskünfte davon, wie Bedrohungsakteure ins Unternehmensnetzwerk kommen sowie agieren.
- Cloudbasierte Breach-and-Attack-Simulations-Tools: Beim Einsatz cloudbasierter Breach-and-Attack-Simulations-Systeme wird die zu schützende IT-Infrastruktur von extern kontinuierlich und jederzeit in Echtzeit mit simulierten Angriffen penetriert.
Nach dem Penetrationstest ist vor dem Penetrationstest! Bisher haben etliche Unternehmen zumeist außerbetriebliche Dienstleistungsunternehmen beauftragt, Penetrationstests umzusetzen. Allerdings dreht es sich hierbei um punktuelle Kontrollen, welche lediglich Aufschluss über den Sicherheitsstatus zum Testzeitpunkt geben. Werden nach dem Penetrationstest Anpassungen durchgeführt, bedeutet dies fast immer ebenfalls eine Veränderung des Sicherheitsstatus. Auf diese Weise bleiben Sicherheitslücken unentdeckt, welche selbst durch kleinste Veränderungen an den Unternehmenssystemen entstehen. Ferner werden alte, bereits gepatchte Schwachstellen von Angreifern ausgebeutet. Vor diesem Hintergrund setzen immer mehr Unternehmen auf Breach-and-Attack-Simulations-Tools. Der gewaltige Pluspunkt von Angriffssimulationen im Unterschied zu Penetrationstests oder Vulnerability-Scans besteht hierin, dass diese Gewissheit darüber verschaffen, welche Angriffe auf welche Art und Weise passieren. Demzufolge steigen Durchsichtigkeit sowie die Erfolgsrate bei der Beseitigung von Sicherheitsmängeln, Schwachpunkten und Fehlkonfigurationen. Darüber hinaus können IT-Verantwortliche die IT-Landschaft besser sichern, da simulierte Attacken zu einer erhöhten Beurteilung von IT-Sicherheitsgefahren beitragen und helfen, die Bedenken der Involvierten zu verkleinern, im Ernstfall notwendige Entscheidungen zu treffen.
Mehr IT-Sicherheit durch simulierte Angriffe rund um die Uhr!
Um der dynamischen Bedrohungslandschaft von heute gewachsen zu bleiben, sind Firmen gut beraten, schlagkräftige Sicherheitsmechanismen zu implementieren.
Die optimale Abwehr gegen ausgekochte Angriffe krimineller Bedrohungsakteure besteht deshalb darin, den gleichen Ansatz zu wählen wie Bedrohungsakteure und initiativ nach geeigneten Angriffswegen zu suchen. Breach-and-Attack-Simulations-Lösungen legen dafür ein zeitgemäßes und agiles Tool dar. Sie zeigen mit permanenten Scheinangriffen auf die IT-Sicherheitslandschaft in Echtzeit nicht bloß einen momentanen und genauen Überblick über eine Gefährdungslage in einem Unternehmen – sie machen auch deutlich, wo sich Schwachstellen verbergen und wie ein Eindringling ins Unternehmensnetzwerk gelangen und agieren kann.
Möchten auch Sie die Langlebigkeit und die Resilienz Ihrer IT-Landschaft mit kompetenten Angriffssimulationslösungen verbessern? Oder haben Sie noch Fragen zum Thema? Sprechen Sie uns an!
