Was ist offensive Sicherheit?
IBM Newsletter abonnieren Mehr über die offensiven X-Force Red Sicherheitsservices erfahren
Zwei Arbeiter sitzen am gemeinsamen Schreibtisch, beide schauen auf den Computerbildschirm

Mit offensiver Sicherheit oder „OffSec“ wird eine Reihe proaktiver Sicherheitsstrategien bezeichnet, bei denen dieselben Taktiken wie böswillige Akteure bei realen Angriffen angewendet werden, um die Netzwerksicherheit zu stärken, statt sie zu schädigen. Zu den gängigen offensiven Sicherheitsmethoden gehören Red Teaming, Penetrationstests und Anfälligkeitsbewertungen.

Offensive Sicherheitsoperationen werden oft von ethischen Hackern durchgeführt – Cybersicherheitsexperten, die ihre Hacking-Fähigkeiten einsetzen, um IT-Systemfehler zu finden und zu korrigieren. Im Gegensatz zu echten Cyberkriminellen – die in Systeme einbrechen, um sensible Daten zu stehlen oder Malware einzuschleusen –, führen ethische Hacker mit Genehmigung simulierte Sicherheitsverstöße durch. Sie stoppen, kurz bevor sie echten Schaden anrichten, und nutzen die Erkenntnisse aus ihren simulierten Angriffen, um Unternehmen bei der Verbesserung ihrer Abwehr zu unterstützen.

In der Vergangenheit wurde mit offensiver Sicherheit auch eine Strategie zur Frustration potenzieller Angreifer bezeichnet, beispielsweise indem Bedrohungsakteure in Dead-End-Directories gelockt werden. Diese antagonistischen Methoden sind in der heutigen Informationssicherheit weniger verbreitet.

Der Wert der offensiven Sicherheit

Um zu verstehen, warum offensive Sicherheit wichtig ist, ist der Vergleich mit defensiver Sicherheit hilfreich.

Defensive Sicherheitsmaßnahmen wie Antivirensoftware und Firewalls sind von ihrem Konzept her reaktiv. Diese Tools wurden entwickelt, um entweder bekannte Bedrohungen zu blockieren oder verdächtiges Verhalten zu erkennen. Einige erweiterte defensive Sicherheitstools, wie z. B. SOAR-Plattformen, können auch Reaktionen auf laufende Angriffe automatisieren.

Zwar können defensive Sicherheitstaktiken dazu beitragen, laufende Cyberangriffe zu vereiteln, doch sind diese Methoden mit einem hohen Arbeitsaufwand für Sicherheitsteams verbunden. Analysten müssen Warnungen und Daten sortieren, um eine echte Bedrohung von einem Fehlalarm zu unterscheiden. Zudem können defensive Sicherheitsmaßnahmen nur vor bekannten Angriffsvektoren schützen. Das führt dazu, dass Unternehmen neuen und unbekannten Cyberbedrohungen ausgesetzt sind. Laut dem Randori State of Offensive Security Report 2022 verzeichneten 67 % der Unternehmen in den letzten zwei Jahren eine Vergrößerung ihrer Angriffsfläche , und 30 % haben Probleme, mit dem Umfang neuer Sicherheitslücken Schritt zu halten.

Offensive Sicherheit ergänzt defensive Sicherheit. Sicherheitsteams nutzen OffSec-Taktiken, um unbekannte Angriffsvektoren, die andere Sicherheitsmaßnahmen möglicherweise übersehen, zu erkennen und darauf zu reagieren. Offensive Sicherheit ist auch proaktiver als defensive Sicherheit. Statt auf Cyberangriffe zu reagieren, wenn sie eintreten, finden und beheben offensive Sicherheitsmaßnahmen Schwachstellen, bevor Angreifer sie ausnutzen können.

Kurz gesagt: Offensive Sicherheit liefert Informationen, durch die die defensive Sicherheit noch effektiver wird. Sie reduziert auch die Belastung der Sicherheitsteams. Aufgrund dieser Vorteile ist offensive Sicherheit in einigen stark regulierten Sektoren ein Industriestandard.

Offensive Sicherheitstaktiken

Die von offensiven Sicherheitsexperten verwendeten Taktiken, Techniken und Verfahren (TTPs) sind die gleichen, die auch von Akteuren, von denen eine Sicherheitsbedrohung ausgeht, verwendet werden. Mithilfe dieser TTPs können OffSec-Experten beim Testen bestehender Sicherheitsprogramme potenzielle Sicherheitslücken ausfindig machen, die echte Hacker ausnutzen könnten.

Zu den wichtigsten offensiven Sicherheitstaktiken gehören:

Sicherheitslücken-Scanning

Das Sicherheitslücken-Scanning ist ein automatisierter Prozess zur Erkennung von Sicherheitslücken in den IT-Ressourcen eines Unternehmens. Dabei wird ein spezielles Tool verwendet, um Computersysteme auf Sicherheitslücken zu scannen.

Sicherheitslückenscanner können Assets nach bekannten Sicherheitslücken durchsuchen, die mit bestimmten Softwareversionen zusammenhängen. Sie können auch eher aktivere Tests durchführen, z. B. um zu prüfen, wie Anwendungen auf gängige SQL-Injection-Zeichenfolgen oder andere schädliche Eingaben reagieren.

Hacker verwenden häufig Sicherheitslückenscans, um Sicherheitslücken zu identifizieren, die sie bei einem Angriff ausnutzen können. OffSec-Experten wiederum verwenden dieselben Sicherheitslückenscanner, um diese Sicherheitslücken zu finden und zu schließen, bevor Hacker sie ausnutzen können. Durch diesen proaktiven Ansatz können Unternehmen Bedrohungen immer einen Schritt voraus sein und ihren Schutz erhöhen.

Penetrationstests

Penetrationstests oder „Pen-Tests“ sind simulierte Cyberangriffe, um Sicherheitslücken in Computersystemen zu finden. Im Prinzip agieren Pen-Tester als menschliche Sicherheitslückenscanner und suchen nach Netzwerkfehlern, indem sie echte Hacker imitieren. Weil Pen-Tester die Perspektive des Angreifers einnehmen, können sie häufig die Sicherheitslücken ermitteln, auf die böswillige Akteure am ehesten abzielen.

Da menschliche Sicherheitsexperten Pen-Tests durchführen, können sie Sicherheitslücken erkennen, die voll automatisierte Tools möglicherweise übersehen. Da Penetrationstester die von ihnen gefundenen Fehler ausnutzen, ist die Wahrscheinlichkeit geringer, dass sie falsch-positive Ergebnisse erzielen. Wenn die Tester einen Mangel ausnutzen können, können Cyberkriminelle das auch. Und da Pen-Tests häufig von Sicherheitsdiensten anderer Anbieter durchgeführt werden, können diese häufig Mängel finden, die internen Sicherheitsteams möglicherweise entgehen.

Red Teaming

Red Teaming, auch bekannt als „Angreifersimulation“, ist eine Übung, bei der eine Gruppe von Experten die TTPs realer Cyberkrimineller verwendet, um einen simulierten Angriff auf ein Computersystem zu starten.

Im Gegensatz zu Pen-Tests handelt es sich beim Red Teaming um eine Angreifer-Sicherheitsbewertung. Das rote Team nutzt aktiv Angriffsvektoren (ohne echten Schaden zu verursachen), um zu sehen, wie weit sie gehen können. Das rote Team tritt auch gegen ein blaues Team von Sicherheitsingenieuren an, die es aufhalten wollen. So erhält das Unternehmen die Möglichkeit, seine Prozeduren zur Reaktion auf Vorfälle in der Praxis zu testen.

Unternehmen beschäftigen entweder ein internes rotes Team oder beauftragen einen anderen Anbieter mit der Durchführung von Red-Team-Übungen. Um sowohl technische Abwehrmaßnahmen als auch das Bewusstsein der Mitarbeiter zu testen, kann in Red-Team-Operationen eine Reihe von Taktiken angewendet werden. Zu den gängigen Red-Team-Methoden gehören simulierte Ransomware-Angriffe, Phishing- sowie andere Social-Engineering--Simulationen und sogar Angriffsmethoden vor Ort wie Tailgating.

Rote Teams können – je nachdem, wie viele Informationen sie haben –, verschiedene Arten von Tests durchführen. Bei einem Whitebox-Test hat das rote Team volle Transparenz über die interne Struktur und den Quellcode des Zielsystems. Bei einem Blackbox-Test hat das rote Team keine Informationen über das System und muss von außen eindringen, ähnlich wie Hacker in der realen Welt. Bei einem Graybox-Test verfügt das rote Team womöglich über einige grundlegende Kenntnisse über das Zielsystem, wie IP-Bereiche für Netzwerkgeräte, aber nicht viel mehr. 

Kenntnisse und Tools in der offensiven Sicherheit

Praktische Hacking-Erfahrung, Programmiersprachen-Kenntnisse und Vertrautheit mit der Sicherheit von Webanwendungen sind für offensive Sicherheitsmaßnahmen von entscheidender Bedeutung. Offensive Sicherheitsexperten erwerben häufig Zertifizierungen wie Offensive Security Certified Professional (OSCP) oder Certified Ethical Hacker (CEH), um ihr Fachwissen in diesen Bereichen zu validieren.

OffSec-Teams folgen auch etablierten ethischen Hacking-Methoden, darunter Open-Source-Projekte wie dem Open Source Security Testing Methodology Manual (OSSTMM) und dem Penetration Testing Execution Standard (PTES).

Offensive Sicherheitsexperten sind auch mit gängigen offensiven Sicherheitstools vertraut, dazu zählen:

Metasploit: Ein Framework für die Entwicklung und Automatisierung von Exploits gegen IT-Systeme. Es wird hauptsächlich für Pen-Tests und Anfälligkeitsbewertungen verwendet.

Kali Linux: Ein Linux-Betriebssystem für Pen-Tests und digitale Forensik.

Burp Suite: Ein Sicherheitstest-Tool für Webanwendungen, das nach Sicherheitslücken suchen, den Web-Traffic abfangen und ändern sowie Angriffe automatisieren kann.

Wireshark: Ein Netzwerkprotokoll-Analyseprogramm, das den Netzwerkverkehr aufzeichnet und überprüft und so hilft, Sicherheitsprobleme in der Netzwerkkommunikation zu erkennen.

Nmap: Ein Netzwerkscan-Tool, das für die Netzerkennung, das Port-Scannen und die Dienst-Identifizierung verwendet wird.

Aircrack-ng: Eine Tool-Suite zum Testen der WLAN-Netzsicherheit. Es kann Pakete aufspüren, Handshakes erfassen und Passwortverschlüsselungen knacken.

John the Ripper: Ein Tool zum Knacken von Kennwörtern, das Brute-Force-Angriffe gegen Kennworthashes durchführt.

sqlmap: Ein Tool, das den Prozess der Ausnutzung von SQL-Injection-Sicherheitslücken in Web-Apps automatisiert.

Weiterführende Lösungen
Offensive Sicherheitsservices von X-Force® Red 

Die offensiven Sicherheitsservices von X-Force® Red können Sie bei der Identifizierung, Priorisierung und Behebung von Sicherheitsmängeln in Ihrem gesamten digitalen und analogen Ökosystem unterstützen.

Mehr über die offensiven Sicherheitsservices von X-Force® Red erfahren

IBM Security® Randori Recon

Decken Sie Schatten-IT auf und bringen Sie mit korrelierten, auf Tatsachen beruhenden Erkenntnissen, die auf gegnerischer Versuchung basieren, schnell ans Ziel. Die optimierten Arbeitsabläufe verbessern Ihre allgemeine Ausfallsicherheit durch die Integration in Ihr bestehendes Sicherheits-Ökosystem.

Randori Recon erkunden

Schwachstellenmanagement-Services von X-Force® Red 

Führen Sie ein Schwachstellenmanagement-Programm ein, das Sicherheitslücken, die Ihre wichtigsten Assets gefährden könnten, identifiziert, priorisiert und deren Behebung verwaltet.

Mehr über die Schwachstellenmanagement-Services von X-Force® Red erfahren

Angreifersimulationsservices von X-Force® Red

Durch Angreifersimulationsübungen, z. B. Red Teaming und Purple Teaming, können Lücken bei Ihren Incident-Response-Teams, Kontrollen und Prozessen aufgedeckt und geschlossen werden, um so den Schaden zu minimieren, sollte es zu einem Sicherheitsverstoß kommen.

Mehr über die Angreifersimulationsservices von X-Force® Red erfahren
Ressourcen Was sind Penetrationstests?

Durch die Inszenierung falscher Angriffe helfen Pen-Tester Sicherheitsteams dabei, kritische Sicherheitslücken aufzudecken und das allgemeine Sicherheitsniveau zu verbessern.

Was ist Schwachstellenmanagement?

Erfahren Sie, wie Lösungen für das Schwachstellenmanagement Sicherheitsteams dabei unterstützen, Sicherheitsschwachstellen in IT-Ressourcen proaktiv zu erkennen, zu priorisieren und zu beheben.

Was ist Cyber-Hacking?

Hacking (auch Cyber-Hacking genannt) ist die Verwendung unkonventioneller oder illegaler Mittel, um unbefugten Zugriff auf ein digitales Gerät, Computersystem oder Computernetzwerk zu erlangen.

Gehen Sie den nächsten Schritt

Das globale Team von IBM X-Force Red bietet eine breite Palette an offensiven Sicherheitsservices, einschließlich Penetrationstests, Schwachstellenmanagement und Angreifersimulation an, um Sie bei der Identifizierung, Priorisierung und Behebung von Sicherheitsmängeln in Ihrem gesamten digitalen und analogen Ökosystem zu unterstützen.

Mehr über die offensiven Sicherheitsservices von X-Force® Red erfahren