Breach and Attack Simulation: Internetangriffe simulieren für mehr IT-Sicherheit!

Der Kampf gegen Internetkriminelle gleicht einem Wettlauf zwischen dem Hasen und dem Igel. Immer, sobald sich der Hase als Erster im Ziel wähnt, meldet sich der Igel mit einem frechen „Ich bin schon hier!“. Tatsache ist, Internetkriminelle sind mittlerweile IT-Verantwortlichen meist einen Schritt voran. Deshalb sind die häufigen und gezielten Neubewertungen von IT-Gefahren, wie auch die der getroffenen technischen sowie organisatorischen Sicherheitsvorkehrungen, eine nötige Voraussetzung für Firmen. Neben Penetrationstests und Schwachstellenscans kommt hierfür an vielen Orten immer öfter Breach- and- Attack- Simulation zum Einsatz. Was sich dahinter verbirgt, welche Nutzeffekte sie im Gegensatz zu Penetrationstests bringt und warum sich jedes Unternehmen mit der Thematik auseinandersetzen sollte, lesen Sie in unserem folgenden Blogbeitrag.

Die weltweite IT-Sicherheitslage hat sich in der neusten Vergangenheit einschneidend verändert: Netzwerke von Unternehmen werden mit steigendem Digitalisierungsgrad, immer stärker werdender Cloud-Konnektivität wie auch zunehmender Anbindung mobiler sowie internetfähiger Endgeräte zunehmend größer, vielschichtiger und dynamischer – und damit gleichfalls anfälliger für IT-Bedrohungen. Gleichzeitig erfährt die Internetkriminalität eine wachsende Weiterentwicklung. Schon lange floriert im Untergrund ein hervorragend organisiertes kriminelles Netzwerk mit unterschiedlichen Akteuren sowie vielfältigen Methoden und Dienstleistungen.

Auf diese Weise können interessierte Bedrohungsakteure, dem Dark Web Price Index 2022 von Privacy Affairs zufolge, bereits für 200 US-Dollar einen 24-stündigen DDoS-Angriff mit 20.000 bis 50.000 Anfragen pro Sekunde auf eine sehr gut gesicherte Internetseite kaufen.

Um jener komplexen und dynamischen Bedrohungslage effektiv zu begegnen, sind umfangreiche Abwehrmechanismen gefordert. Hierzu zählen außer robusten IT-Sicherheitsvorkehrungen sowie hohen IT-Sicherheitsstandards auch Werkzeuge, mit welchen sich die Qualität und Effizienz der vorhandenen Sicherheitsinfrastruktur beständig begutachten, ermitteln sowie evaluieren lässt.
Exakt an dieser Stelle kommt die besagte Breach- and- Attack- Simulations-Lösung, knapp BAS, zum Tragen.

Denken Sie wie ein Hacker!

Bei Breach-and-Attack-Simulations-Lösungen dreht es sich um fortschrittliche Testmethoden, die in Echtzeit kontinuierlich lebensnahe Angriffe auf die eingesetzten IT-Sicherheitstechnologien vortäuschen, um die Bedrohungs- und Angriffserkennung, Minderungs- und Präventionsfähigkeit ebenso wie die Gefahrenabwehr eines Betriebs zu testen.

So sind IT-Verantwortliche in der Lage, genau zu eruieren, wie wirksam die gegebene IT-Sicherheitsumgebung mit reellen Angriffen ist und an welchem Ort sich organisatorische, prozedurale oder auch technische Schwächen verstecken.

Dabei sind Breach-and-Attack-Simulations-Lösungen in der Lage, verschiedene Vektoren zu attackieren, und zwar derart, wie dies ein Attackierender tun wird. Diese reichen von Phishing-Angriffsversuchen auf E-Mail-Strukturen, via Angriffe auf die Firewall bis hin zur Simulation einer möglichen Datenexfiltration.

Damit die Angriffsvektoren immerzu auf dem aktuellen Stand sind, speisen sich die allermeisten Breach-and-Attack-Systeme aus unterschiedlichen Quellen mit den neuesten Bedrohungen.
Zur selben Zeit werden die Elemente jener selbst ausgelösten Scheinattacken minütlich aufgezeichnet.

Breach-and-Attack-Simulation: Funktionsweise!

Werfen wir erst einmal den Blick auf die generelle Funktionsweise einer Breach-and-Attack- Simulations-Methode.

Im allerersten Schritt werden im Netzwerk BAS-Agenten verteilt. Hierbei dreht es sich im einfachsten Fall um schmalspurige fiktive Geräte, kurz VMs, oder aber um Software-Pakete, die auf den Clients sowie Servern im Netz eingerichtet werden müssen.
Im nächsten Schritt werden die möglichen Angriffspfade bestimmt und dem Breach-and-Attack- Simulations-System wird angelernt, wie das Unternehmensnetzwerk aufgebaut ist und welche IT-Sicherheitskontrollen sich zwischen ihren Agenten befinden. So ist das System qualifiziert, eine Regel-Optimierung für die einzelnen Sicherheitskomponenten vorzuschlagen.
Im weiteren Step wird der „Angriff“ zwischen den Agenten geplant sowie ausgeführt.
Hierzu werden gemäß der Breach-and-Attack-Simulations-Lösung von Hand oder per Templates eine Serie eventueller Angriffe bestimmt.

Das kann sehr unterschiedlich aussehen:

  • Der Agent im Client-Netz versucht, mehrere TCP-Verbindungen auf einige Ports des Agenten im Datenbank-VLAN anzugreifen
  • Ein Agent in einem Server-Netz sendet Pakete zum Agenten im Datenbank-VLAN, welche auf eine bekannte IPS-Signatur (IPS: Abkürzung für Intrusion Prevention System) passen, beispielsweise ein Exploit gegen eine bekannte Schwäche.
  • Ein Agent aus dem Web schickt einen HTTP-Request mit einer SQL-Injection durch die Wireless Application Firewall, knapp WAF, zum Agenten, welcher neben der Webanwendung „XYZ“ sitzt

Nach diesem Modell lassen sich verschiedene mögliche Angriffsszenarien durchspielen. Die Effektivität der Ergebnisse hängt hingegen davon ab, wie der entsprechende Hersteller sie in seinem Produkt aufbereitet.

Breach-and-Attack-Simulation: Die verschiedenen Lösungen auf einen Blick!

Mit Erfolg simulierte Angriffe sind hilfreich, um Schwachpunkte erkennen sowie die richtigen Optimierungen aufgreifen zu können und um sie zu versiegeln, bevor ein echter Schaden entsteht.

Es gibt drei verschiedene Typen von Breach-and-Attack-Simulations-Tools:

Agenten-basierte Breach-and-Attack-Simulations-Tools:

Agentenbasierte Angriffssimulationslösungen sind die einfachste Form von Breach- and- Attack- Simulation. Dabei werden Agenten im gesamten LAN eingebaut und es wird mittels gefundener Schwachstellen festgelegt, welche Angriffspfade möglichen Bedrohungsakteuren offenstehen, um sich im Unternehmensnetzwerk zu bewegen. Agenten-basierte Breach-and-Attack-Simulations-Tools weisen immense Ähnlichkeiten zu Schwachstellen-Scans auf, bieten aber deutlich mehr Kontext.

Auf „böswilligem“ Datenverkehr basierende Breach-and-Attack-Simulations-Tools:

Diese Angriffssimulationslösungen erstellen inmitten des Unternehmensnetzwerks signifikanten Datentraffic zwischen gezielt dafür festgelegten virtuellen Maschinen, die als Angriffsziele für verschiedenste Angriffsszenarien dienen. Es wird anschließend eine Gesamtschau erstellt, welche Ereignisse nicht von den eigenen Sicherheitsvorkehrungen aufgedeckt sowie blockiert wurden. Ebenso an dieser Stelle bekommen die Unternehmen Informationen davon, wie Bedrohungsakteure ins Unternehmensnetzwerk gelangen und handeln.

Cloudbasierte Breach-and-Attack-Simulations-Tools:

Beim Gebrauch cloudbasierter Breach-and-Attack-Simulations-Systeme wird die zu sichernde IT-Infrastruktur von extern kontinuierlich sowie rund um die Uhr in Echtzeit mit simulierten Angriffsversuchen belästigt.

Penetrationstest versus Breach-and-Attack-Simulation!

Bisher haben etliche Unternehmen zumeist externe Dienstleistungsunternehmen engagiert, Penetrationstests umzusetzen. Allerdings handelt es sich hierbei um punktgenaue Kontrollen, die ausschließlich Aufschluss über den Sicherheitsstatus zum Testzeitpunkt liefern. Werden nach diesem Penetrationstest Änderungen durchgeführt, bedeutet das fast immer auch eine Modifikation des Sicherheitsstatus. Auf diese Weise bleiben Sicherheitslücken unentdeckt, welche selbst durch minimale Änderungen an den Unternehmenssystemen entstehen. Ebenso werden alte, schon gepatchte Schwachstellen von Angreifern ausgebeutet.

Vor diesem Hintergrund vertrauen stets mehr Firmen auf Breach-and-Attack-Simulations-Methoden.

Der gewaltige Pluspunkt von Angriffssimulationen im Unterschied zu Penetrationstests oder Vulnerability-Scans besteht hierin, dass diese Gewissheit über die Tatsache verschaffen, welche Angriffe auf welche Art und Weise stattfinden. Dadurch wachsen Transparenz sowie die Erfolgsrate bei der Behebung von Sicherheitsmängeln, Schwachpunkten sowie Fehlkonfigurationen. Darüber hinaus können IT-Verantwortliche die Infrastruktur effizienter sichern, da simulierte Attacken zu einer verbesserten Wahrnehmung von IT-Sicherheitsgefahren führen und helfen, die Angst der Involvierten zu reduzieren, im Ernstfall notwendige Entscheidungen zu treffen.

Schließen Sie mit kontrollierten Angriffen Ihre IT-Schwachstellen!

Um der dynamischen Bedrohungslandschaft gegenwärtig gewachsen zu bleiben, sind Firmen prima beraten, schlagkräftige Sicherheitsmechanismen zu implementieren.
Die optimale Abwehr gegen raffinierte Angriffe krimineller Bedrohungsakteure besteht daher darin, den selben Ansatz zu wählen wie Bedrohungsakteure und initiativ nach möglichen Angriffswegen zu suchen.

Breach-and-Attack-Simulations-Systeme stellen dafür ein zeitgemäßes und agiles Tool dar. Sie bieten mit permanenten Scheinangriffen auf die IT-Sicherheitsumgebung in Echtzeit nicht nur einen aktuellen und genauen Gesamtüberblick über die Gefährdungslage in einem Betrieb – sie machen auch deutlich, an welchem Ort sich Schwächen verbergen und wie ein Eindringling ins Unternehmensnetzwerk kommen und handeln kann.

Wollen auch Sie die Langlebigkeit und die Resilienz Ihrer IT-Landschaft mit kompetenten Angriffssimulationslösungen optimieren? Oder haben Sie noch Fragen zum Thema? Kontaktieren Sie uns!