beebright - stock.adobe.com
Attack Path Management: Was Unternehmen wissen müssen
Lösungen, die sich mit Angriffspfaden beschäftigen, sehen IT-Infrastrukturen und genutzte Cloud-Dienste eines Unternehmens aus der Perspektive eines potenziellen Angreifers.
Viele Unternehmen fragen sich zurecht, ob ihre Cyber- und Sicherheitsmaßnahmen den raffinierten Attacken Cyberkrimineller standhalten können. Denn trotz teils beträchtlicher Investitionen in diverse Sicherheitsvorkehrungen zur Abwehr von Bedrohungen aller Art entstehen immer wieder Sicherheitslücken durch ausnutzbare Schwachstellen und Gefährdungen durch unkontrollierte Aktivitäten wie Fehlkonfigurationen, falsche Anmeldedaten und riskante Benutzeraktivitäten. Um diese Risiken zu minimieren, sollten Unternehmen auf Lösungen setzen, die mittels simulierter Techniken von Angreifern alle Angriffspfade kontinuierlich identifizieren und Abhilfemaßnahmen empfehlen.
Bisweilen ist es Unternehmen, trotz aller Bemühungen, nicht möglich, ganze Enterprise-Produktionsumgebungen rund um die Uhr auf Sicherheitslücken und andere Bedrohungen abzuklopfen. Attack Path Management soll diese Lücke schließen, indem das gesamte Netzwerk kontinuierlich auf mögliche Einfallstore für Cyberkriminelle abgeklopft wird.
Die Herausforderung
Die bloße Implementierung einer Reihe von Sicherheitskontrollen und -Tools reicht nicht aus, um ein Unternehmen tatsächlich zu schützen. Die verschiedenen Tools können Lücken in ihrem Tätigkeitsbereich aufweisen, und auch Fehlkonfigurationen lassen sich nicht ausschließen, die Unternehmen potenziell einem Risiko aussetzen könnten.
Über die Tools hinaus betrachtet, ist Sicherheit oft eine Funktion der Technologie, die mit Menschen und Prozessen zusammenarbeitet. Selbst wenn die Technologie richtig eingesetzt wird und konfiguriert ist, könnten Risiken von anderen Bereichen ausgehen.
Das Testen und Validieren der Sicherheit ist eine wichtige, grundlegende Komponente. Bei Penetrationstests wird in der Regel ein Sicherheitsberater beauftragt, der aktiv versucht, sich Zugang zu Ressourcen zu verschaffen.
Red-Teaming ist ein Ansatz, bei dem eine Gruppe innerhalb des Unternehmens als Gegenspieler agiert und versucht, die von den Mitgliedern des Blue-Teams errichteten Verteidigungsmechanismen zu überwinden. Bei Bug-Bounty-Programmen erhalten externe Spezialisten eine finanzielle Belohnung für das Melden von Schwachstellen in der Infrastruktur oder den Anwendungen eines Unternehmens.
Die systematische Identifikation von Schwachstellen im Firmennetz stellt einen anderen Ansatz dar, um Unternehmen beim Testen und Validieren ihrer Sicherheitslage zu unterstützen. Attack Path Management konzentriert sich darauf, wie Unternehmen das Testen ihrer Cybersicherheitsabwehr automatisieren und skalieren können.
Infrastrukturen von extern betrachten
Attack-Path-Management-Plattformen sehen das Unternehmensnetzwerk mit den Augen eines Hackers und beziehen dabei sowohl On-Premises Netzwerke sowie Multi-Cloud-Netzwerke in ihre Betrachtung ein. Sie sind auf der Suche nach vorhandenen versteckten Angriffsvektoren – insbesondere derer, die für gewöhnlich unter dem Radar klassischer Sicherheitslösungen verschwinden.
Lässt sich der potenzielle Angriffspfad eines Hackers nachvollziehen, spuckt das Tool einen priorisierten Bericht zur Behebung der Schwachstellen aus – und zwar noch bevor der Hacker zuschlagen kann. Ob es sich um ungepatchte Systeme handelt, um Fehlkonfigurationen, Softwaremängel oder Schwachstellen, die aus menschlichen Fehlern resultieren – eine Attack-Path-Management-Plattform identifiziert Lücken und Angriffsvektoren, die kritische Assets erreichen können, unabhängig von den Sicherheits-Tools, die bereits im Einsatz sind.
Um folgende Punkte können sich Attack-Path-Managent-Lösungen kümmern:
- Durch die kontinuierliche Suche nach Angriffsvektoren werden Risiken zu dem Zeitpunkt entdeckt, an dem sie entstehen.
- Durch die Angriffssimulation entstehen keinerlei Risiken und das Produktionsumfeld wird nicht beeinträchtigt.
- Entsprechende Maßnahmen und Verbesserungen werden validiert.
- Die allgemeine Sicherheitslage und das Risikoniveau werden 24x7 überwacht.
- Sicherheitslücken werden in Netzwerken On-Premises sowie in Multi-Cloud Umgebungen aufgespürt.
- Schwer zu identifizierende Schwachstellen, die aus Fehlkonfigurationen, fehlerhaften Anmeldeinformationen oder menschlichem Fehlverhalten resultieren, werden offengelegt.
- Mittels Angriffssimulationen lassen sich neue Angriffsvektoren bilden, die zum Schutz des Netzwerks beitragen.
Vorgehensweise: Die proaktive Suche nach Angriffswegen
Potenzielle Angreifer warten auf Veränderungen im Netzwerk, die Schwachstellen offenbaren und ihnen Eintrittswege in das System eröffnen, um an kritische Assets zu gelangen. Die beste Verteidigung besteht darin, den gleichen Ansatz zu wählen und proaktiv nach möglichen Angriffswegen zu suchen.
Im Zuge der Identifizierung kritischer Assets, werden auch die möglichen Angriffspfade identifiziert, um dann rasch die Punkte vom Eintrittsort zum kritischen Asset zu verbinden. Zu diesem Zweck wird das Netzwerk kartiert und Assets sowie der chronologische Verlauf von möglichen Angriffspfaden innerhalb einer Live-Umgebung angezeigt. Im nächsten Schritt lässt sich ein priorisierter Maßnahmenplan erstellen, der auf den realen Risiken basiert und Anweisungen für die einzelnen Teams enthält, die Gefahren umgehend zu eliminieren.
„Anstatt sich reaktiv zu verhalten und auf die Ergebnisse von Schwachstellenscans oder die Veröffentlichung von Patches zu warten, ermöglicht eine Angriffssimulation, die Perspektive des Angreifers einzunehmen.“
Tilman Epha, XM Cyber
Zwar stellen Schwachstellen immer Risiken dar, die mit bestimmten Assets verbunden sind. Allerdings ist es wichtiger, jene Schwachstellen zu identifizieren, die Angriffspfade zu kritischen Assets ermöglichen. Auf diese Weise können dedizierte Maßnahmen ergriffen werden, um die gesamte Angriffskette zu schließen. So können nicht nur Risiken minimiert, sondern auch der Zeit- und Arbeitsaufwand aller Beteiligten gesenkt werden.
Zusätzlich erhalten die Teams risikobasierten zusätzlichen Kontext, der sie dabei unterstützt, Sicherheitswarnungen und Schwachstellenscans zu priorisieren. Mit Angriffssimulationen in Verbindung mit Schwachstellenscans können Security- und IT-Teams zusammenarbeiten und sich auf zusätzlichen Kontext stützen, um die Kritikalität jeder einzelnen Schwachstelle zu bewerten und Updates sowie Patches zu priorisieren und zu verwalten. Der Vorteil liegt auf der Hand: Unternehmen steht damit ein kontinuierlicher Ansatz für das Schwachstellenmanagement zur Verfügung, der das Risiko minimiert und gleichzeitig den Zeitaufwand reduziert sowie die Prozesse beider Teams optimiert.
Attack Path Management und Compliance
Es gibt viele Gründe, warum ein Unternehmen in ein bestimmtes Cybersicherheits-Tool oder einen Service investiert. Einer der wichtigsten Gründe ist die Einhaltung von Vorschriften und Richtlinien – eine Aufgabe, die Zeit und Ressourcen verschlingen kann. Attack-Path-Management-Plattformen können bei der Vorbereitung auf Compliance-Audits unterstützen und dabei helfen, einige der manuellen Prozesse zu beseitigen.
Ein Beispiel hierfür ist der Payment Card Industry Data Security Standard (PCI DSS): Mit Hilfe einer Attack-Path-Management-Plattform ist ein Unternehmen in der Lage zu sehen, wo Firewall-Regeln aktualisiert werden müssen, nachdem durch Simulationen entdeckt wurde, wie sich ein potenzieller Angreifer seinen Weg ins Netzwerk und den Kundendaten bahnen könnte. Zu den möglichen Angriffsvektoren könnten hier beispielsweise auch Dienstkonten gehören, die zu SQL-Administratoren gehören. Schließlich könnte sich ein Angreifer, der die Systeme, auf denen sich Dienstkonten befinden, kompromittiert, auch Zugang zu den Bereichen eines Netzwerks verschaffen, in denen PCI-DSS-Compliance erforderlich ist.
Fazit
Zusätzlich zu den Vorteilen, die mit einer Automatisierung der kontinuierlichen Netzwerküberwachung einhergehen, ermöglichen Simulationen von Sicherheitsverletzungen und Angriffen Unternehmen auch, die Art und Weise, wie sie ihr Netzwerk verteidigen, zu ändern.
Anstatt sich reaktiv zu verhalten und auf die Ergebnisse von Schwachstellenscans oder die Veröffentlichung von Patches zu warten, ermöglicht eine Angriffssimulation, die Perspektive des Angreifers einzunehmen. Darüber hinaus ist dieses Modell weniger auf menschliche Fähigkeiten angewiesen. Penetrationstests oder Red-/Blue-Teaming basieren auf bestimmten Fähigkeiten, Erfahrungen und Urteilsvermögen, die das Ergebnis manueller Tests beeinflussen können. Automatisierte Simulationen von Sicherheitslücken hingegen beseitigen diese Variable, erhöhen zudem die Effizienz und senken die Kosten.
Über den Autor:
Tilman Epha ist Sales Director DACH bei XM Cyber.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.