weerapat1003 - stock.adobe.com
Breach-and-Attack-Simulation: Typische Anwendungsfälle
Während Pentests eine Momentaufnahme über die Sicherheit der Sicherheitsvorkehrungen eines Unternehmens liefern, bieten Breach-and-Attack-Simulationen regelmäßige Statusprüfungen.
Jedes Sicherheitsteam macht sich Gedanken darüber, ob die vorhandenen Sicherheitskontrollen, Prozesse und Verfahren einen Angriff stoppen oder einschränken können. Und auch wie schnell die Wiederherstellungspläne den normalen Betrieb der Systeme aufrechterhalten oder wiederherstellen können. Viele Unternehmen setzen Penetrationstests ein, um die Wirksamkeit ihres Sicherheitsprogramms zu bewerten, aber auch Simulationen von Sicherheitsverletzungen und Angriffen (BAS, Breach-and-Attack-Simulation) werden immer beliebter.
Bei Penetrationstests handelt es sich in der Regel um einmalige, ressourcenintensive Übungen, die nur eine Momentaufnahme des Sicherheitszustands zu einem bestimmten Zeitpunkt liefern. Um mit den sich ständig ändernden IT-Umgebungen und der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt halten zu können, müssen Sicherheitsteams BAS-Übungen nutzen, um die Sicherheitsabwehr regelmäßig, wenn nicht sogar ständig, zu testen. Damit lässt sich sicherzustellen, dass sie immer korrekt konfiguriert ist und alle Cyberangriffe erkennen und darauf reagieren kann.
Was ist Breach-and-Attack-Simulation (BAS)?
Bei einer Breach-and-Attack-Simulation handelt es sich um eine Übung, bei der eine Organisation einen vollständigen Angriffszyklus auf ihr eigenes Netz, ihre Infrastruktur und ihre Anlagen simuliert. Dabei werden die von den Bedrohungsakteuren verwendeten Taktiken, Techniken und Verfahren anwendet. Eine Simulation, an der auch wichtige Sicherheitspartner beteiligt sein können, die eine aktive Rolle beim täglichen Schutz von IT-Systemen spielen, kann auf bekannten Bedrohungen oder Bedrohungsakteuren basieren oder sich auf Sicherheitsprobleme konzentrieren. Beispielsweise. die Ausnutzung einer bestimmten Schwachstelle, Malware- oder Ransomware-Angriffe, Datenexfiltration oder Benutzerverhalten.
Ziel einer Breach-and-Attack-Simulation ist es, zu bewerten, wie gut die Sicherheitskontrollen und das Personal bei der Erkennung und Abwehr von Angriffen funktionieren. Außerdem werden verbesserungsbedürftige Bereiche identifiziert und bestehende Schwachstellen und Sicherheitsprobleme aufgedeckt. Regelmäßige Tests von IT-Netzwerken und -Systemen aus der Perspektive eines Angreifers ermöglichen es Unternehmen, ihre gesamte Sicherheitsabwehr zu bewerten und zu verbessern. Jede Kombination von Schwachstellen, Fehlkonfigurationen und Benutzerverhalten, die kritische Werte gefährden könnte, sollte während einer Simulation aufgedeckt werden.
BAS-Tools sind weitgehend automatisiert. Dies erleichtert die Durchführung häufiger BAS-Tests und vermeidet die normalerweise längeren Intervalle zwischen Pentests oder Red- und Blue-Team-Übungen. Häufige Tests verbessern die Gesamtsicht auf den tatsächlichen Zustand der Sicherheitsumgebung.
Die wichtigsten BAS-Anwendungsfälle
Belastung, Bewertung und Validierung von Sicherheitskontrollen
BAS-Übungen überprüfen regelmäßig, ob die aktuellen Sicherheitskontrollen korrekt integriert und konfiguriert sind, um den Fortschritt eines Angriffs erfolgreich zu erkennen und aufzuhalten. Häufige Aktualisierungen von Software und Systemen können leicht zu Konfigurationsabweichungen oder Fehlern führen, die unerwartete Sicherheitslücken schaffen.
Der iterative Charakter und die größere Reichweite von BAS im Vergleich zu Pentests machen es einfacher und schneller, neue oder unvorhergesehene Lücken in der Sicherheitsverteidigung aufzudecken. Es wird nicht nur die Wirksamkeit der Sicherheitskontrollen validiert, sondern auch die Reaktionszeiten verbessert, da das Sicherheitspersonal durch regelmäßige Übung besser weiß, wer was, wann und wie tun muss.
Verbesserungen der Effizienz
BAS-Tools können dazu beitragen, zwei wichtige Sicherheitskennzahlen zu verbessern: die mittlere Zeit bis zur Erkennung (MTTD) und die mittlere Zeit bis zur Reaktion (MTTR). Regelmäßige Simulationen von Sicherheitsverletzungen und Angriffen ermöglichen es den Sicherheitsteams, ihre Überwachungs- und Erkennungstools zu optimieren. Außerdem lernen die Teams dadurch, wie sie am besten auf verschiedene Arten von Angriffen reagieren können, so dass die Verfahren aktualisiert werden können, um die Effektivität und Schnelligkeit der Maßnahmen zu verbessern.
Die Zeitpläne für das Patchen von Schwachstellen können auch besser auf der Grundlage der Schwachstellen priorisiert werden, die in einer bestimmten IT-Umgebung nachweislich ausnutzbar sind. Die Priorisierung des Patchens von Schwachstellen allein auf der Grundlage eines CVSS-Scores ist nicht unbedingt der beste Ansatz. Möglicherweise sind bereits kompensierende Kontrollen vorhanden, die eine Ausnutzung der Schwachstellen bis zum nächsten geplanten Patch-Fenster verhindern können, während eine Schwachstelle mit niedrigem CVSS-Score einem Angreifer aufgrund der Konfiguration und des Schutzes einer bestimmten Umgebung dennoch den Zugang zu kritischen oder hochwertigen Ressourcen ermöglichen kann und daher dringend gepatcht werden muss.
Durch Simulationen kann auch überprüft werden, ob Patch-Updates und andere Änderungen am System die Gesamtsicherheit nicht beeinträchtigt haben.
Bewertung der Widerstandsfähigkeit und Reaktionsfähigkeit
Breach-and-Attack-Simulationen können den Ablauf eines Angriffs nachbilden - Bereitstellung, Ausnutzung, Installation, Befehl und Kontrolle sowie böswillige Aktionen -, so dass Sicherheitsteams und -kontrollen auf einen echten Angriff vorbereitet sind. Das Mitre-ATT&CK-Framework wird von vielen BAS-Anbietern genutzt, um Simulationen von Angriffen anzubieten, die für bestimmte Branchen und Umgebungen relevant sind. Simulationen können in kürzerer Zeit und mit geringerem Risiko als ein vollständiger Pentest implementiert werden, liefern aber dennoch Details zu Angriffsvektoren, Bewegungen und Methoden der Angreifer sowie zu den Maßnahmen, die das Sicherheitsteam ergreifen muss, um einen vollständigen Angriff zu verhindern.
Unterstützung bei Fusionen, Übernahmen und internen Veränderungen
Jedes Mal, wenn sich eine IT-Umgebung schnell verändert, zum Beispiel bei einer Fusion, einer Übernahme oder einer internen Erweiterung oder Umstrukturierung, ist es wichtig festzustellen, wie sich die Änderungen auf die Sicherheit auswirken, und das oft innerhalb eines kurzen Zeitraums. Eine BAS ist eine der schnellsten Möglichkeiten, sich einen Überblick über die Sicherheit erworbener, neuer oder geänderter Systeme zu verschaffen, damit die Integration so geplant werden kann, dass eine konstante Sicherheit bei minimalen Unterbrechungen gewährleistet ist.
Bewertung des Nutzerverhaltens
Mitarbeiter sind oft das schwächste Glied in der IT-Umgebung eines Unternehmens. Viele Sicherheitsverletzungen beginnen mit menschlichem Versagen. Benutzer können Angreifern ungewollt helfen, indem sie auf bösartige Links oder Anhänge klicken und Sicherheitsrichtlinien nicht strikt befolgen. Phishing-basierte BAS-Übungen sind eine gute Möglichkeit, um herauszufinden, wie Mitarbeiter auf Phishing-Angriffe reagieren werden. Basierend auf realen Ereignissen und bekannten Kampagnen, die an individuelle, abteilungs- oder länderspezifische Gegebenheiten angepasst sind, liefern die BAS-Ergebnisse eindeutige Kennzahlen, um die Einhaltung interner Sicherheitsstandards zu messen, die Effektivität der aktuellen Cybersicherheitsschulung zu bewerten und zu entscheiden, welche Personen zusätzliche Schulungen benötigen.
BAS-Anwendungsfälle werden zunehmen
Da Unternehmensnetzwerke immer komplexer und Cloud-orientierter werden und IoT und Remote-Arbeiten diese Komplexität noch verstärken, sind Simulationen von Sicherheitsverletzungen und Angriffen ein effektives und umfassendes Mittel, um die tatsächliche Widerstandsfähigkeit eines Unternehmens gegenüber Bedrohungen zu messen. Gleichzeitig können Unternehmen damit das Wissen, das Verständnis und die Effizienz derjenigen verbessern, die mit der Erkennung, Verhinderung und Reaktion auf Angriffe beauftragt sind.
Auch wenn BAS-Tools und -Technologien zum Einsatz kommen, werden Pentests und Red-, Blue- und Purple-Teamübungen ein wichtiger Bestandteil der Gewährleistung einer starken Sicherheitslage bleiben. Denken Sie jedoch daran, dass die Ergebnisse dieser Tests nur dann von Nutzen sind, wenn auf sie reagiert wird und Fehler und Schwachstellen behoben werden. Die nächste Runde von Simulationen sollte immer positive Verbesserungen und Fortschritte zeigen.