Der Kampf gegen Internetkriminelle ähnelt einem Wettlauf zwischen dem Hasen und dem Igel. Immerzu, sobald sich der Hase als Erster am Ziel sieht, meldet sich der Igel mit einem frechen „Ich bin schon hier!“. Fakt ist, Internetkriminelle sind heutzutage IT-Verantwortlichen meist einen Schritt voran. Deshalb sind die regelmäßigen sowie gezielten Neubewertungen von IT-Risiken, wie auch die der getroffenen technischen sowie organisatorischen Sicherheitsweisungen, eine unabdingbare Grundlage für Unternehmen. Neben Penetrationstests und Schwachstellenscans kommt deshalb vielerorts immer häufiger Breach- and- Attack- Simulation zum Einsatz. Was sich dahinter versteckt, welche Vorteile diese im Gegensatz zu Penetrationstests bietet und warum sich jede Firma mit der Materie auseinandersetzen sollte, erfahren Sie in unserem nachfolgenden Beitrag.

Die globale IT-Sicherheitslage hat sich in der neusten Vergangenheit drastisch verändert: Netzwerke von Firmen werden mit wachsendem Digitalisierungsgrad, verstärkter Cloud-Konnektivität wie auch zunehmender Anbindung mobiler sowie internetfähiger Endgeräte zunehmend größer, vielschichtiger sowie dynamischer – und damit auch angreifbarer für IT-Bedrohungen. Simultan durchlebt die Internetkriminalität eine steigende Entwicklung. Längst floriert im Hintergrund ein hervorragend organisiertes kriminelles Netzwerk mit divergenten Akteuren und vielfältigen Tools sowie Serviceleistungen.

Auf diese Weise können interessierte Bedrohungsakteure, dem Dark Web Price Index 2022 von Privacy Affairs zufolge, bereits für 200 US-Dollar einen 24-stündigen DDoS-Angriff mit 20.000 bis 50.000 Anfragen pro Sekunde auf eine gut geschützte Webseite erwerben.

Um jener komplexen sowie dynamischen Bedrohungslage wirkungsvoll entgegen zu treten, sind umfangreiche Abwehrmechanismen gefordert. Hierzu zählen neben stabilen IT-Sicherheitsvorkehrungen und hohen IT-Sicherheitsstandards ebenso Tools, mit denen sich die Effektivität und Effizienz der existierenden Sicherheitsinfrastruktur beständig begutachten, ermitteln und evaluieren lässt.

Genau hier kommt die sogenannte Breach- and- Attack- Simulations-Lösung, kurz BAS, zum Einsatz.

Breach-and-Attack-Simulation: Was ist das überhaupt?

Bei Breach-and-Attack-Simulations-Lösungen handelt es sich um fortschrittliche Testmethoden, die in Echtzeit kontinuierlich lebensnahe Angriffe auf die eingesetzten IT-Sicherheitstechnologien simulieren, um die Bedrohungs- und Angriffserkennung, Minderungs- und Präventionsfähigkeit ebenso wie die Gefahrenabwehr eines Betriebs zu testen.

So sind IT-Verantwortliche in der Lage, genau herauszufinden, wie wirksam die vorhandene IT-Sicherheitsumgebung gegenüber reellen Angriffsversuchen ist und wo sich organisatorische, prozedurale oder technische Mängel verstecken.

Dabei sind Breach-and-Attack-Simulations-Lösungen in der Position, verschiedene Vektoren anzugreifen, und zwar derart, wie dies ein Angreifer tun würde. Diese reichen von Phishing-Angriffsversuchen auf E-Mail-Strukturen, über Angriffe auf die Firewall bis hin zu einer Simulation einer Datenexfiltration.

Mit dem Ziel, dass die Angriffsvektoren stets auf dem aktuellen Stand sind, speisen sich die meisten Breach-and-Attack-Systeme aus verschiedenen Quellen mit den neuesten Bedrohungen.

Gleichzeitig werden die Elemente dieser selbst ausgelösten Scheinattacken minutiös aufgenommen.

Breach-and-Attack-Simulation: Funktionsweise!

Werfen wir zunächst den Blick auf die allgemeine Funktionsweise einer Breach-and-Attack- Simulations-Lösung.

Im ersten Schritt werden im Computernetz BAS-Agenten verteilt. Dabei dreht es sich im simpelsten Fall um schmalspurige virtuelle Maschinen, knapp VMs, oder aber um Software-Pakete, welche auf den Clients sowie Servern im Netz eingerichtet werden sollen.

Im zweiten Schritt werden die möglichen Angriffspfade bestimmt und dem Breach-and-Attack- Simulations-System wird angelernt, wie das Unternehmensnetzwerk gebildet ist und welche IT-Sicherheitskontrollen sich zwischen ihren Agenten befinden. Auf diese Weise ist das Modell in der Lage eine Regel-Optimierung für die jeweiligen Sicherheitskomponenten zu empfehlen.

Im nächsten Schritt wird der „Angriff“ zwischen den Agenten geplant und durchgeführt.

Dazu werden gemäß der Breach-and-Attack-Simulations-Lösung manuell oder per Templates eine Serie möglicher Angriffe bestimmt.

Das kann sehr verschieden ausschauen:

  • Der Agent im Client-Netz probiert, mehrere TCP-Verbindungen auf einige Ports des Agenten im Datenbank-VLAN anzugreifen
  • Der Agent in einem Server-Netz sendet Pakete zum Agenten im Datenbank-VLAN, die auf eine vertraute IPS-Signatur (IPS: Abkürzung für Intrusion Prevention System) passen, beispielsweise ein Exploit gegen eine bekannte Schwachstelle.
  • Ein Agent aus dem Web sendet einen HTTP-Request mit einer SQL-Injection durch die Wireless Application Firewall, kurz WAF, zu dem Agenten, welcher angrenzend der Webanwendung „XYZ“ liegt

Nach diesem Muster lassen sich unterschiedliche potenzielle Angriffsszenarien durchspielen. Die Qualität der Ergebnisse hängt hingegen hiervon ab, wie der jeweilige Erzeuger jene in seinem Produkt aufbereitet.

Breach-and-Attack-Simulation-Systeme auf einen Blick!

Erfolgreich simulierte Angriffe sind nützlich, um Schwachstellen erkennen und die geeigneten Optimierungen aufgreifen zu können wie auch um sie zu schließen, bevor ein echter Schaden entsteht.

Es gibt drei verschiedene Typen von Breach-and-Attack-Simulations-Tools:

  • Agenten-basierte Breach-and-Attack-Simulations-Tools:

agentenbasierte Angriffssimulationslösungen sind die einfachste Fasson von Breach- and- Attack- Simulation. Dabei werden Agenten im gesamten LAN eingesetzt und es wird anhand gefundener Schwachstellen bestimmt, welche Angriffspfade möglichen Bedrohungsakteuren offenstehen, um sich im Unternehmensnetzwerk zu bewegen. Agenten-basierte Breach-and-Attack-Simulations-Tools weisen große Ähnlichkeiten zu Schwachstellen-Scans auf, bieten aber deutlich mehr Kontext.

  • Auf „böswilligem“ Datenverkehr basierende Breach-and-Attack-Simulations-Tools:

Jene Angriffssimulationslösungen generieren innerhalb des Unternehmensnetzwerks signifikanten Datentraffic zwischen extra dafür festgelegten virtuellen Maschinen, die als Angriffsziele für verschiedenste Angriffsszenarien fungieren. Es wird dann eine Übersicht erarbeitet, welche Ereignisse nicht von den eigenen Sicherheitsvorkehrungen aufgedeckt sowie blockiert wurden. Auch hier bekommen die Unternehmen Auskünfte davon, wie Bedrohungsakteure ins Unternehmensnetzwerk kommen und handeln.

  • Cloudbasierte Breach-and-Attack-Simulations-Tools:

Beim Einsatz cloudbasierter Breach-and-Attack-Simulations-Modelle wird die zu schützende IT-Infrastruktur von außen konstant sowie rund um die Uhr in Echtzeit mit simulierten Angriffsversuchen belästigt.

Nach dem Penetrationstest ist vor dem Penetrationstest!

Bisher haben viele Unternehmen meist externe Dienstleister beauftragt, Penetrationstests durchzuführen. Allerdings handelt es sich hierbei um punktgenaue Prüfungen, die lediglich Aufklärung über den Sicherheitsstatus zum Testzeitpunkt liefern. Werden nach diesem Penetrationsverfahren Anpassungen durchgeführt, heißt das fast immer ebenfalls eine Veränderung des Sicherheitsstatus. So bleiben Sicherheitslücken unentdeckt, welche selbst durch minimale Änderungen an den Unternehmenssystemen auftreten. Ebenso werden alte, bereits gepatchte Schwächen von Angreifern ausgebeutet.

Deshalb setzen immer mehr Firmen auf Breach-and-Attack-Simulations-Tools.

Der gewaltige Pluspunkt von Angriffssimulationen gegenüber Penetrationstests oder Vulnerability-Scans besteht hierin, dass sie Klarheit über die Tatsache geben, welche Attacken auf welche Art und Weise passieren. Demzufolge wachsen Transparenz und die Erfolgsrate bei der Beseitigung von Sicherheitsmängeln, Schwachpunkten und Fehlkonfigurationen. Darüber hinaus können IT-Verantwortliche die IT-Landschaft besser schützen, da simulierte Attacken zu einer erhöhten Wahrnehmung von IT-Sicherheitsrisiken beitragen und helfen, die Angst der Involvierten zu verkleinern, im Falle eines Schadens nötige Entscheidungen zu treffen.

Schließen Sie mit kontrollierten Angriffen Ihre IT-Schwachstellen!

Um der dynamischen Bedrohungslandschaft von heute gewachsen zu sein, sind Firmen gut beraten, schlagkräftige Sicherheitsmechanismen zu implementieren.

Die optimale Abwehr gegen raffinierte Angriffe krimineller Bedrohungsakteure besteht daher darin, den gleichen Ansatz aufzusuchen wie Bedrohungsakteure sowie proaktiv nach geeigneten Angriffswegen zu suchen.

Breach-and-Attack-Simulations-Systeme stellen dafür ein zeitgemäßes und agiles Tool dar. Sie bieten mit steten Scheinangriffen auf die IT-Sicherheitsumgebung in Echtzeit nicht bloß einen momentanen sowie genauen Gesamtüberblick über die Gefährdungslage in einem Unternehmen – sie machen auch klar, wo sich Schwächen verstecken und wie ein Eindringling ins Unternehmensnetzwerk kommen sowie handeln kann.

Möchten auch Sie die Langlebigkeit und die Resilienz Ihrer IT-Landschaft mit kompetenten Angriffssimulationslösungen optimieren? Oder haben Sie noch Ansuchen zum Thema? Kontaktieren Sie uns! check