Breach and Attack Simulation: Internetangriffe simulieren für mehr IT-Sicherheit!

Der Kampf gegen Internetkriminelle ähnelt dem Wettlauf zwischen dem Hasen und dem Igel. Immer, sobald sich der Hase an erster Stelle am Ziel sieht, meldet sich der Igel mit einem kecken „Ich bin schon hier!“. Fakt ist, Internetkriminelle sind heutzutage IT-Verantwortlichen meistens einen Schritt voran. Daher sind die häufigen sowie gezielten Neubewertungen von IT-Risiken, als auch die der getroffenen technischen sowie organisatorischen Sicherheitsvorkehrungen, eine unabdingbare Voraussetzung für Unternehmen. Neben Penetrationstests sowie Schwachstellenscans kommt hierfür an vielen Orten immer öfter Breach- and- Attack- Simulation zum Einsatz. Was sich hier versteckt, welche Vorteile diese gegenüber Penetrationstests bringt und warum sich jede Firma mit dieser Materie auseinandersetzen sollte, erfahren Sie in dem folgenden Beitrag.

Die weltweite IT-Sicherheitslage hat sich in der jüngsten Vergangenheit einschneidend verändert: Netzwerke von Firmen werden mit steigendem Digitalisierungsgrad, immer stärker werdender Cloud-Konnektivität sowie wachsender Anbindung mobiler sowie internetfähiger Endgeräte immer umfangreicher, vielschichtiger und dynamischer – und damit gleichfalls anfälliger für IT-Bedrohungen. Gleichzeitig erfährt die Internetkriminalität eine wachsende Entwicklung. Längst floriert im Untergrund ein sehr gut organisiertes kriminelles Netzwerk mit divergenten Akteuren und unterschiedlichen Methoden und Dienstleistungen.

So können interessierte Bedrohungsakteure, dem Dark Web Price Index 2022 von Privacy Affairs zufolge, schon für 200 US-Dollar einen 24-stündigen DDoS-Angriff mit 20.000 bis 50.000 Anfragen pro Sekunde auf eine gut gesicherte Internetseite kaufen.

Um jener komplexen sowie dynamischen Bedrohungslage effektiv zu begegnen, sind umfangreiche Abwehrmechanismen gefragt. Dazu zählen außer stabilen IT-Sicherheitsvorkehrungen sowie hohen IT-Sicherheitsstandards auch Werkzeuge, mit denen sich die Effektivität und Effizienz der vorhandenen Sicherheitsinfrastruktur kontinuierlich begutachten, messen sowie bewerten lässt.
Exakt hier kommt die sogenannte Breach- and- Attack- Simulations-Lösung, knapp BAS, zum Tragen.

Denken Sie wie ein Hacker!

Bei Breach-and-Attack-Simulations-Lösungen dreht es sich um moderne Testmethoden, die in Echtzeit kontinuierlich lebensnahe Angriffe auf die benutzten IT-Sicherheitstechnologien vortäuschen, um die Bedrohungs- sowie Angriffserkennung, Minderungs- und Präventionsfähigkeit sowie die Gefahrenabwehr eines Unternehmens zu prüfen.

So sind IT-Verantwortliche in der Position, exakt herauszufinden, wie effektiv die gegebene IT-Sicherheitsumgebung mit reellen Angriffsversuchen ist und wo sich organisatorische, prozedurale oder auch technische Schwächen verstecken.

Dabei sind Breach-and-Attack-Simulations-Lösungen in der Lage, verschiedene Vektoren zu attackieren, und zwar derart, wie das ein Angreifer tun wird. Selbige reichen von Phishing-Angriffsversuchen auf E-Mail-Systeme, via Angriffe auf die Firewall bis hin zu einer Vortäuschung einer möglichen Datenexfiltration.

Mit dem Ziel, dass die Angriffsvektoren immerzu auf dem aktuellen Stand sind, speisen sich die allermeisten Breach-and-Attack-Systeme aus unterschiedlichen Quellen mit den neuesten Bedrohungen.
Zur selben Zeit werden die Details jener selbst ausgelösten Scheinattacken minutiös aufgenommen.

Breach-and-Attack-Simulation: Wie funktioniert Breach-and-Attack-Simulation eigentlich?

Werfen wir erst einmal einen Blick auf die allgemeine Funktionsweise einer Breach-and-Attack- Simulations-Lösung.

Im ersten Step werden im Computernetz BAS-Agenten verteilt. Dabei handelt es sich im simpelsten Fall um schmalspurige virtuelle Maschinen, kurz VMs, oder auch um Software-Pakete, welche auf den Clients sowie Servern im Netz installiert werden müssen.
Im zweiten Schritt werden die möglichen Angriffspfade definiert und dem Breach-and-Attack- Simulations-System wird beigebracht, wie das Unternehmensnetzwerk gebildet ist und welche IT-Sicherheitskontrollen sich zwischen ihren Agenten befinden. So ist das Modell qualifiziert, eine Regel-Optimierung für die jeweiligen Sicherheitskomponenten zu empfehlen.
Im weiteren Step wird der „Angriff“ zwischen den Agenten geplant und ausgeführt.
Dazu werden gemäß der Breach-and-Attack-Simulations-Lösung manuell oder per Templates eine Reihe eventueller Angriffe definiert.

Das kann sehr unterschiedlich ausschauen:

  • Der Agent im Client-Netz probiert, ein paar TCP-Verbindungen auf unterschiedliche Ports des Agenten im Datenbank-VLAN anzugreifen
  • Ein Agent in einem Server-Netz sendet Pakete zum Agenten im Datenbank-VLAN, welche auf eine bekannte IPS-Signatur (IPS: Abkürzung für Intrusion Prevention System) passen, etwa ein Exploit gegen eine geläufige Schwäche
  • Ein Agent aus dem Internet schickt einen HTTP-Request mit einer SQL-Injection durch die Wireless Application Firewall, knapp WAF, zu dem Agenten, welcher neben der Webanwendung „XYZ“ sitzt

Nach diesem Modell lassen sich unterschiedliche potenzielle Angriffsszenarien durchexerzieren. Die Effektivität der Ergebnisse hängt wiederum davon ab, wie der entsprechende Hersteller jene in seinem Produkt optimiert.

Welche Arten von Breach-and-Attack-Simulations-Lösungen gibt es?

Mit Erfolg simulierte Angriffe sind hilfreich, um Schwachpunkte ermitteln und die geeigneten Maßnahmen ergreifen zu können und um diese zu versiegeln, bevor ein echter Schaden entsteht.

Es gibt drei verschiedene Arten von Breach-and-Attack-Simulations-Tools:

  • Agenten-basierte Breach-and-Attack-Simulations-Tools:
    agentenbasierte Angriffssimulationslösungen sind die simpelste Fasson von Breach- and- Attack- Simulation. Dabei werden Agenten im kompletten LAN eingesetzt und es wird mittels gefundener Schwachpunkte festgelegt, welche Angriffspfade potenziellen Bedrohungsakteuren offen sind, um sich im Unternehmensnetzwerk zu bewegen. Agenten-basierte Breach-and-Attack-Simulations-Tools weisen große Parallelen zu Schwachstellen-Scans auf, haben aber erheblich mehr Kontext.
  • Auf „böswilligem“ Datenverkehr basierende Breach-and-Attack-Simulations-Tools:
    Diese Angriffssimulationslösungen generieren inmitten des Unternehmensnetzwerks auffälligen Datenverkehr zwischen extra dafür festgelegten virtuellen Maschinen, die als Angriffsziele für verschiedenste Angriffsszenarien dienen. Es wird dann eine Übersicht erarbeitet, welche Vorkommnisse nicht von den eigenen Sicherheitsvorkehrungen aufgedeckt sowie verhindert wurden. Auch hier bekommen die Unternehmen Informationen darüber, wie Bedrohungsakteure ins Unternehmensnetzwerk kommen und agieren.
  • Cloudbasierte Breach-and-Attack-Simulations-Tools:
    Beim Gebrauch cloudbasierter Breach-and-Attack-Simulations-Systeme wird die zu schützende IT-Infrastruktur von extern konstant sowie jederzeit in Echtzeit mit simulierten Angriffen penetriert.

Kontinuierlich simulierte Angriffe versus Penetrationstest!

Bislang haben viele Firmen meist externe Dienstleistungsunternehmen beauftragt, Penetrationstests umzusetzen. Allerdings dreht es sich dabei um punktgenaue Prüfungen, welche ausschließlich Aufschluss über den Sicherheitsstatus zum Testzeitpunkt geben. Werden nach dem Penetrationstest Anpassungen durchgeführt, bedeutet dies nahezu immer auch eine Veränderung des Sicherheitsstatus. So bleiben Sicherheitslücken unentdeckt, welche selbst durch minimale Änderungen an den Unternehmenssystemen entstehen. Ferner werden alte, bereits gepatchte Schwächen von Angreifern ausgenutzt.

Vor diesem Hintergrund vertrauen immer mehr Firmen auf Breach-and-Attack-Simulations-Methoden.

Der gewaltige Vorteil von Angriffssimulationen im Unterschied zu Penetrationstests oder Vulnerability-Scans liegt darin, dass sie Klarheit darüber verschaffen, welche Angriffe auf welche Art und Weise stattfinden. Dadurch steigen Transparenz und die Success Rate bei der Beseitigung von Sicherheitsmängeln, Schwachstellen sowie Fehlkonfigurationen. Ferner können IT-Verantwortliche die Infrastruktur besser schützen, da simulierte Attacken zu einer erhöhten Beurteilung von IT-Sicherheitsrisiken beitragen und helfen, die Angst der Involvierten zu reduzieren, im Falle eines Schadens notwendige Entscheidungen zu treffen.

Mit Scheinangriffen so agil werden wie die Bedrohungsakteure selbst

Um der größer werdenden Bedrohungslandschaft von heute gewachsen zu sein, sind Firmen gut beraten, schlagkräftige Sicherheitsmechanismen zu implementieren.
Die beste Abwehr gegen raffinierte Angriffe krimineller Bedrohungsakteure besteht daher darin, den gleichen Ansatz zu wählen wie Bedrohungsakteure sowie initiativ nach möglichen Angriffswegen zu suchen.

Breach-and-Attack-Simulations-Lösungen stellen dafür ein zeitgemäßes und agiles Tool dar. Sie bieten mit permanenten Scheinangriffen auf die IT-Sicherheitslandschaft in Echtzeit nicht bloß einen aktuellen und detaillierten Überblick über die Gefährdungslage in einem Unternehmen – sie machen auch klar, wo sich Schwächen verbergen und wie ein Eindringling ins Unternehmensnetzwerk kommen und agieren kann.

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.