Um seine IT-Umgebung, seine Daten und seine kritischen Anwendungen besser zu schützen, ist es wichtig, sie regelmäßig auf den Prüfstand zu stellen. Angreifer versuchen bekanntlich, jede noch so kleine Schwachstelle auszunutzen. Wenn sie über ausreichende Mittel und Zeit verfügen, ist es wahrscheinlich, dass es ihnen gelingt, in jedes System einzudringen.
"Für Cybersicherheitsteams ist es daher wichtig, nach direkt ausnutzbaren Schwachstellen zu suchen, um die Wahrscheinlichkeit eines Eindringens zu verringern oder, falls es doch dazu kommt, den bestmöglichen Schutz der als kritisch eingestuften Systeme zu gewährleisten. Hierfür sind realistische offensive Sicherheitsansätze unerlässlich", erklärt Thomas Pianezzola, Mitglied des Cyberforce Offensive Security Teams.
Simulierte Angriffe in Echtzeit
Wie funktioniert das? Das Cyberforce Offensive Security Team bei DEEP bietet eine Reihe von Dienstleistungen zur Unterstützung von Organisationen an, die ihre gesamten Sicherheitsvorkehrungen auf den Prüfstand stellen wollen. Im Bereich der Internetsicherheit spricht man oft von einem „Red Team“: Ein Team, das versucht, in die Computersysteme eines Unternehmens einzudringen, um Schwachstellen aufzudecken.
"Zu diesem Zweck können wir auf verschiedene Weise vorgehen. Um die Übung so erfolgreich wie möglich zu gestalten, ist es jedoch am besten, die realen Bedingungen eines Angriffs zu simulieren", erklärt Anthony Maestre, ein weiteres Mitglied des Teams. Man spricht dann von Adversary Simulation. „Je nach Wunsch des Kunden haben wir die Möglichkeit, sehr frei zu agieren oder auch einen ganz bestimmten Angriffsvektor anzusteuern, wie Phishing, Social Engineering oder den Angriff auf exponierte Server“, so der Experte weiter.
Alle Mittel sind recht
Wenn das Angriffsteam viel Freiheit hat, wird es wie ein echter Angreifer handeln, indem es Phishing-Kampagnen durchführt, um Zugangsdaten zu erhalten, Malware zu verteilen oder in die physische Infrastruktur einzudringen. "Um in das System einzudringen, ist uns jedes Mittel recht. Wir gehen so vor, wie jemand vorgehen würde, der tatsächlich versucht, in das Unternehmen einzudringen. Wir können Computermethoden anwenden, aber auch versuchen, in Gebäude einzudringen und Schlösser zu knacken", sagt Thomas Pianezzola.
Vorankommen unter dem Radar
Sobald das Red Team im System angekommen ist, soll es die Robustheit der Sicherheitsvorkehrungen testen. Wenn es stark genug ist, mit verstärkten Kontrollen und gut segregierten Elementen, sollte die Bewegungsfreiheit der Angreifer eingeschränkt sein. "Neben dem Erlangen des ersten Zugriffs ist es am schwierigsten, den Zugriff aufrechtzuerhalten. Die Herausforderung besteht darin, eine Seitwärtsbewegung durchzuführen, d. h. tiefer in die Infrastruktur vorzudringen, ohne entdeckt zu werden. Das Ziel ist meist, die höchsten Privilegien zu erlangen", sagt Anthony Maestre.
Testen Sie die Erkennungs- und Reaktionsfähigkeit
Das Team, das die Systeme der Organisation angreift, sollte nicht nur die Schwachstellen aufdecken, sondern auch die Erkennungs- und Reaktionsfähigkeit der für den Schutz zuständigen Personen (im Fachjargon „Blue Team“ genannt) testen. Zu diesem Zweck schreckt das Offensivteam nicht davor zurück, außerhalb der Bürozeiten einzugreifen: am Abend, in der Nacht oder am Wochenende, wenn die Wachsamkeit nachlässt.
Wenn es dem Team gelingt, unter dem Radar zu fliegen und einzudringen, besteht die Herausforderung darin, durch die Dokumentation seiner Aktionen zu zeigen, dass es in der Lage ist, die Systeme des Unternehmens bis hin zur Infrastruktur zu kompromittieren, vom Diebstahl von Berechtigungsnachweisen bis hin zur potenziellen Installation einer hartnäckigen Malware. „Diese Art von Übung zielt nicht nur darauf ab, die Erkennungsfähigkeit eines Unternehmens zu bewerten, sondern vor allem die Wirksamkeit seiner Reaktion auf realitätsnahe Szenarien zu messen“, erklärt Thomas Pianezzola.
Der Zweck heiligt die Mittel
Der große Unterschied zwischen dem Team, das für die Simulation verantwortlich ist, und echten Angreifern liegt vor allem in den Mitteln, die jedem zur Verfügung stehen. Eine Offensivübung ist natürlich durch die Zeit und das Budget, das die Organisation dafür bereitstellt, begrenzt. In der Regel wird eine Simulation über zwei Wochen durchgeführt. "Der Versuch, von außen in ein System einzudringen, ist eine Sache. Wenn es uns jedoch nach einigen Tagen nicht gelingt, schlagen wir dem Kunden vor, einen anderen Ansatz zu wählen", fügt Maestre hinzu. Beispielsweise kann der Kunde uns über einen assume breach (angenommene Schwachstelle) Zugang zu seinen Systemen gewähren, wie z. B. die Kompromittierung eines VPN-Zugangs, des Computers eines Mitarbeiters oder eines Webservers, um die Sicherheit des Informationssystems zu testen, wenn der Angreifer erst einmal im Inneren ist. Man muss jedoch davon ausgehen, dass ein echter Angreifer, der wirklich in ein System eindringen will und die Zeit dazu hat, es auch schaffen wird".
