Was ist Verstoß- und Angriffssimulation?

Breach and Attack Simulation (BAS) ist ein automatisierter und kontinuierlicher softwarebasierter Ansatz für offensive Sicherheit. Ähnlich wie bei anderen Formen der Sicherheitsvalidierung wie Red Teaming und Penetrationsprüfung ergänzt BAS traditionellere Sicherheitstools, indem es Cyberangriffe simuliert, um Sicherheitskontrollen zu testen und umsetzbare Erkenntnisse zu liefern.

Wie bei einer Red-Team-Übung nutzen Verstoß- und Angriffssimulationen die von Hackern eingesetzten realen Angriffstaktiken, Techniken und Verfahren (TTPs), um Sicherheitslücken proaktiv zu identifizieren und zu entschärfen, bevor sie von tatsächlichen Bedrohungsakteuren ausgenutzt werden können. Im Gegensatz zu Red Teaming und Pen-Tests sind BAS-Tools jedoch vollständig automatisiert und können in der Zeit zwischen den praktischeren Sicherheitstests umfassendere Ergebnisse mit weniger Ressourcen liefern. Anbieter wie SafeBreach, XM Cyber und Cymulate bieten Cloud-basierte Lösungen an, die eine einfache Integration von BAS-Tools ohne Implementierung neuer Hardware ermöglichen.

Als Tool zur Validierung von Sicherheitskontrollen helfen BAS-Lösungen Organisationen, ein besseres Verständnis für ihre Sicherheitslücken zu erlangen, und bieten wertvolle Hinweise für die priorisierte Sanierung.

Die Simulation von Verstößen und Angriffen hilft Sicherheitsteams dabei:

• Minderung potenzieller Cyber-Risiken: Warnt frühzeitig vor möglichen internen oder externen Bedrohungen und ermöglicht es Sicherheitsteams, Sanierungsmaßnahmen zu priorisieren, bevor es zu entscheidenden Datenexfiltration, Zugriffsverlusten oder ähnlichen nachteiligen Folgen kommt.
• Minimieren der Wahrscheinlichkeit erfolgreicher Cyberangriffe: In einer sich ständig verändernden Bedrohungsumgebung erhöht die Automatisierung die Resilienz durch kontinuierliche Tests.

BAS-Lösungen replizieren viele verschiedene Arten von Angriffspfaden, Angriffsvektoren und Angriffsszenarien. Auf der Grundlage der realen TTPs, die von den Akteuren, von denen eine Sicherheitsbedrohung ausgeht, verwendet werden und die in den Bedrohungsdaten von MITRE ATT&CK und den Frameworks Cyber Killchain beschrieben sind, können BAS-Lösungen Folgendes simulieren:

• Netzwerk- und Infiltrationsangriffe
• Lateralbewegung
• Phishing
• Endpunkt- und Gateway-Angriffe
• Malware-Angriffe
• Ransomware-Angriffe

Unabhängig von der Art des Angriffs simulieren, bewerten und validieren BAS-Plattformen die aktuellsten Angriffstechniken, die von Advanced Persistent Threats (APTs) und anderen bösartigen Entitäten entlang des gesamten Angriffspfads verwendet werden. Sobald ein Angriff abgeschlossen ist, erstellt eine BAS-Plattform einen detaillierten Bericht mit einer nach Prioritäten geordneten Liste von Sanierungsmaßnahmen, falls entscheidende Schwachstellen entdeckt werden.

Der BAS-Prozess beginnt mit der Auswahl eines bestimmten Angriffsszenarios aus einem anpassbaren Dashboard. Sie führen nicht nur viele Arten bekannter Angriffsmuster aus, die von neu auftretenden Bedrohungen oder benutzerdefinierten Situationen abgeleitet sind, sondern können auch Angriffssimulationen durchführen, die auf den Strategien bekannter APT-Gruppen basieren, deren Methoden je nach Branche des Unternehmens variieren können.

Nachdem ein Angriffsszenario initiiert wurde, stellen BAS-Tools virtuelle Agenten im Netzwerk eines Unternehmens bereit. Diese Agenten versuchen, in geschützte Systeme einzudringen und sich seitwärts zu verschieben, um auf kritische Assets oder sensible Daten zuzugreifen. Im Gegensatz zu herkömmlichen Penetrationsprüfungen oder Red Teaming können BAS-Programme Zugangsdaten und internes Systemwissen nutzen, über das Angreifer möglicherweise nicht verfügen. Auf diese Weise kann die BAS-Software sowohl Außenseiter- als auch Insider-Angriffe in einem Prozess simulieren, der dem Purple-Teaming ähnelt.

Nach Abschluss einer Simulation generiert die BAS-Plattform einen umfassenden Schwachstellenbericht, der die Wirksamkeit verschiedener Sicherheitskontrollen von Firewalls bis zur Endpunktsicherheit bestätigt, einschließlich:

1. Kontrollen der Netzwerksicherheit
2. Endpoint Detection and Response (EDR)
3. E-Mail-Sicherheitskontrollen
4. Maßnahmen zur Zugangskontrolle
5. Richtlinien für das Schwachstellenmanagement
6. Kontrollen der Datensicherheit
7. Maßnahmen zur Reaktion auf Notfälle

BAS-Lösungen sind zwar nicht als Ersatz für andere Cybersicherheitsprotokolle gedacht, können aber den Sicherheitsstatus eines Unternehmens deutlich verbessern. Laut einem Gartner-Forschungsbericht kann BAS Sicherheitsteams dabei helfen, bis zu 30–50 % mehr Schwachstellen im Vergleich zu herkömmlichen Tools zur Bewertung aufzudecken. Die Vorteile der Simulation von Verstößen und Angriffen sind:

1. Automatisierung: Da die Bedrohung durch Cyberangriffe von Jahr zu Jahr zunimmt, stehen Sicherheitsteams unter ständigem Druck, mit höherer Effizienz zu arbeiten. BAS-Lösungen haben die Möglichkeit, kontinuierliche Tests 24 Stunden am Tag, 7 Tage die Woche und 365 Tage im Jahr durchzuführen, ohne dass zusätzliches Personal lokal oder außerhalb des Unternehmens erforderlich ist. Mit BAS können auch On-Demand-Tests durchgeführt und Feedback in Echtzeit bereitgestellt werden.
2. Genauigkeit: Für jedes Sicherheitsteam, insbesondere für solche mit begrenzten Ressourcen, sind genaue Berichte für eine effiziente Ressourcenzuweisung von entscheidender Bedeutung – die Zeit, die für die Untersuchung nicht entscheidender oder fälschlicherweise identifizierter Sicherheitsvorfälle aufgewendet wird, ist verschwendete Zeit. Laut einer Studie des Ponemon Institute verzeichneten Organisationen, die fortschrittliche Bedrohungserkennung wie BAS einsetzten, einen Rückgang der falsch positiven Warnungen um 37 %.
3. Umsetzbare Erkenntnisse: Als Tool zur Validierung von Sicherheitskontrollen können BAS-Lösungen wertvolle Erkenntnisse liefern, die bestimmte Schwachstellen und Fehlkonfigurationen aufzeigen, sowie kontextbezogene Empfehlungen zur Schadensbegrenzung, die auf die vorhandene Infrastruktur eines Unternehmens zugeschnitten sind. Darüber hinaus hilft die datengestützte Priorisierung den SOC-Teams, ihre entscheidendsten Schwachstellen zuerst zu beheben.
4. Verbesserte Erkennung und Reaktion: BAS-Tools basieren auf APT-Wissensbasen wie MITRE ATT&CK und der Cyber Killchain und lassen sich auch gut mit anderen Sicherheitstechnologien (z. B. SIEM, SOAR) integrieren. Sie können zu deutlich verbesserten Erkennungs- und Reaktionsraten bei Cybersicherheitsvorfällen beitragen. Eine Studie der Enterprise Strategy Group (ESG) ergab, dass 68 % der Unternehmen, die BAS und SOAR zusammen einsetzen, verbesserte Reaktionszeiten bei Vorfällen verzeichneten. Gartner prognostiziert, dass Unternehmen, die SOAR und BAS zusammen nutzen, bis 2025 eine Reduzierung um 50 % in der Zeit, die benötigt wird, um Vorfälle zu erkennen und darauf zu reagieren, erleben werden.

Die Branchendaten lassen sich zwar gut in viele verschiedene Arten von Sicherheitstools integrieren, deuten jedoch darauf hin, dass die Simulation von Sicherheitsverletzungen und Angriffen sowie Tools für das Management von Angriffsflächen (Attack Surface Management, ASM) in naher Zukunft immer häufiger zum Einsatz kommen wird. Michelle Abraham, Trust Research Director der International Data Corporation, sagte: „Das Management der Angriffsfläche sowie die Simulation von Sicherheitslücken und Angriffen ermöglichen es den Sicherheitsverteidigern, Risiken proaktiver zu managen.“

Während Tools für das Schwachstellenmanagement und das Scannen von Schwachstellen ein Unternehmen von innen heraus bewerten, ist das Angriffsflächenmanagement die kontinuierliche Erkennung, Analyse, Sanierung und Überwachung der Cybersicherheitsschwachstellen und potenziellen Angriffsvektoren, die die Angriffsfläche eines Unternehmens ausmachen. Ähnlich wie andere Angriffssimulationstools nimmt ASM die Perspektive eines externen Angreifers ein und bewertet die nach außen gerichtete Präsenz eines Unternehmens.

Die sich beschleunigenden Trends zu mehr Cloud Computing, IoT-Geräten und Schatten-IT (d. h. die nicht genehmigte Nutzung nicht gesicherter Geräte) erhöhen die potenzielle Cyber-Gefährdung eines Unternehmens. ASM-Lösungen scannen diese Angriffsvektoren auf potenzielle Schwachstellen, während BAS-Lösungen diese Daten einbeziehen, um Angriffssimulationen und Sicherheitstests besser durchzuführen und die Wirksamkeit der vorhandenen Sicherheitskontrollen zu bestimmen.

Das Ergebnis ist ein viel klareres Verständnis der Abwehrmaßnahmen eines Unternehmens, von der internen Mitarbeiterbewusstsein bis hin zu anspruchsvollen Cloud-Sicherheitsproblemen. Wenn Wissen mehr als die halbe Miete ist, sind diese kritischen Erkenntnisse für Unternehmen, die ihre Sicherheit erhöhen wollen, von unschätzbarem Wert.