Cyber Threat Modeling und Cyber Threat Hunting - Denken Sie wie ein Angreifer!
von Svenja Koch
Die sogenannten Advanced Persistant Threats (ATP) sorgen für eine zunehmend komplexe Bedrohungslage. Diese verschärft die Risikosituation in Unternehmen massiv und macht die Abwehr von Bedrohungen für die Cyber Security immer herausfordernder. Eine erfolgreiche Verteidigung gegen solche Cyberbedrohungen beginnt mit der Prävention. Dafür ist es notwendig, die Angriffsmuster der Hacker zu verstehen. Genau an diesem Punkt setzt das Cyber Threat-Modeling bzw. -Hunting an.
Was genau ist das Cyber Threat Modeling?
Als Cyber Threat Modeling (Bedrohungsmodellierung) bezeichnet man die konzeptionelle Analyse von Cyberbedrohungen, bei der es initial darum geht, sich in die Position eines Angreifers hineinzuversetzen. Ziel ist hierbei, potentielle Schwachstellen bzw. Sicherheitsrisiken in Anwendungen und Systemen bereits frühzeitig systematisch und strukturiert zu identifizieren und entsprechend erforderliche IT-Sicherheitsmaßnahmen abzuleiten.
Die Bedrohungsmodellierung beginnt mit der Definition aller in Frage kommenden Cyberbedrohungen für eine Organisation. Hierfür ist es von elementarer Bedeutung zu analysieren und definieren, welche Daten und Infrastrukturbereiche im Unternehmen zu schützen sind. Die Bedrohungsmodellierung ist also ein individueller Prozess. Er ist entsprechend zeitintensiv und setzt tiefgehende fachliche Kompetenz voraus. Gelingt es nicht, alle Cyberbedrohungen zu erkennen oder aber die Cyber Security nimmt falsche Einschätzungen vor, entwickelt sich das Cyber Threat Modeling bereits in dieser frühen Phase in die falsche Richtung.
Im Rahmen der Bedrohungsanalyse wird im nächsten Schritt jede einzelne identifizierte Cybergefahr beleuchtet. Dabei erfolgt nun ein Wechsel der Perspektive. Die Simulation der Cyberbedrohungen erfolgt aus der Sicht der Angreifer. Auf diese Weise lassen sich die IT-Schwachstellen der eigenen Infrastruktur finden sowie die Angriffsmuster der Hacker nachvollziehen. Es ist wichtig zu verstehen, dass das Cyber Threat Modeling ein laufender Prozess ist. Da sich die IT-Sicherheitslage permanent wandelt, vor allem durch neue Formen von Advanced Persistant Threats und Veränderungen in der eigenen IT-Infrastruktur, gilt es, fortlaufend neue Simulationen und Modelle anzufertigen.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Warum gewinnt das Cyber Threat Modeling immer mehr an Bedeutung?
In den letzten Jahren haben sich Cyberbedrohungen für Unternehmen zu einem immer größeren Risiko entwickelt. Dies hat vor allem zwei Gründe: Zum einen nimmt die Zahl der Cyberangriffe weltweit immer mehr zu. Hinzu kommt, dass die Hacker gezielter und mit einem klaren Plan vorgehen. Ransomware und Advanced Persistant Threats zielen darauf ab, die IT-Infrastruktur einer Organisation in ihrer Gesamtheit zu infiltrieren oder sogar komplett zu blockieren. Zum anderen trägt auch die zunehmende Digitalisierung dazu bei, dass Unternehmen immer abhängiger von IT-Systemen sind. So sind in vielen Fälle alle Bereiche eines Unternehmens betroffen, wenn es zum Ausfall in der IT kommt. Dies macht es für die Cyber Security umso wichtiger, eine möglichst perfekte Verteidigung aufzubauen, die alle möglichen Szenarien in Betracht zieht.
Zu guter Letzt verschärft auch die Europäische Datenschutz-Grundverordnung (DSGVO) die Lage. Unternehmen stehen nun in der Haftung, wenn es um den Schutz von privaten Daten geht. Die Konsequenzen bei Verletzungen sind empfindliche Geldstrafen und ein öffentlicher Imageverlust. Auch aus diesem Grund haben Unternehmen in den letzten Jahren vermehrt in die Cyber Security investiert und suchen neue Methoden, um Cyberangriffe zu verhindern.
Beispielhafter Ablauf des Cyber Threat Modeling
An Beispielen lässt sich gut aufzeigen, wie das Threat Modeling in der Praxis funktioniert. Ein gutes Beispiel ist eine typische Cloud-Anwendung, wie sie in vielen Unternehmen mittlerweile im Einsatz ist, etwa eine App für die Kommunikation innerhalb einer Organisation.
Das Cyber Threat Modeling beginnt mit einer Analyse der Nutzung dieser App. Dabei erfolgt ganz einfach eine Untersuchung der Interaktionen mit der App sowie der benötigten Informationen. Die Nutzung der App erfordert eine Anmeldung. Diese erfolgt via E-Mail-Adresse und einem selbst generierten Passwort. Innerhalb der App gibt es verschiedene Benutzerlevel. Der Administrator der Organisation hat volle Zugangsrechte und somit auch die Möglichkeit, Rechte anderer Nutzer zu verändern. Über erstellte Gruppen, die ebenfalls Rechte erhalten, erfolgt eine Abbildung der Unternehmensstrukturen innerhalb der Anwendung. Mit einem Datenfluß-Diagramm wird dann erfasst, welche Informationen die App verwaltet. So nutzt das Unternehmen im Beispiel die App für die interne Kommunikation der Mitarbeiter. Die Nachrichten und Daten speichert die App in der Cloud des Anbieters. Damit ist die Analyse der Prozesse innerhalb der App abgeschlossen.
Der zweite Schritt beschäftigt sich mit den potenziellen Gefahren. Im Fokus stehen hier die Nutzerdaten, da diese Zugang zu der Anwendung gewähren. Wer über Login und Passwort verfügt, hat Zugriff auf die interne Kommunikation. Besondere Gefahr droht, wenn ein Zugang kompromittiert ist, der erweiterte Zugriffsrechte hat.
Der nächste Schritt beinhaltet eine detaillierte Erfassung der konkreten Bedrohungen. Hierbei kommt bei der Analyse die STRIDE-Methode zum Einsatz. STRIDE ist ein Akronym und beinhaltet die sechs Punkte:
- Spoofing Identity
- Tampering with Data
- Repudiation
- Information Disclosure
- Denial of Service
- Elevation of Privilege
Dies sind die verschiedenen Klassen von Cyberbedrohungen, die potenzielle Gefahrenquellen darstellen. Es erfolgt dann eine konkrete Überprüfung, in welcher Form diese sechs Punkte im vorliegenden Fall eine Bedrohung darstellen. Elevation of Privilege beispielsweise simuliert eine Situation, in der ein Unbefugter Zugriff auf ein Konto erhält, das über erweiterte oder maximale Rechte verfügt. In diesem Zusammenhang wird erfasst, welche Schäden dann entstehen beziehungsweise welche Aktionen diesem Angreifer über ein solches Konto zur Verfügung stehen. Im Rahmen von Spoofing Identity prüft die Cyber Security, ob es möglich ist, durch das Vortäuschen einer Identität ins System einzudringen und welche Daten durch einen solchen Angriff gefährdet sind. Information Disclosure umfasst eine Analyse, welche Informationen in der App gespeichert sind und welche Auswirkungen es hat, wenn diese in unbefugte Hände geraten.
Anhand der gewonnenen Informationen erfolgt der eigentliche Cyber Threat Modeling Prozess. Dieser lässt sich mit einem Angriffsbaum visualisieren. Auf den verschiedenen Ebenen erfolgt im Rahmen der Analyse eine Definition der primären Angriffsziele, Zwischenziele und den Cyberbedrohungen. Eine klassische Bedrohung für ein solches System ist beispielsweise ein Brute-Force-Angriff. Diese Art von Attacke hat das Zwischenziel, Login-Daten über das Austesten von wahllosen Kombinationen zu erraten. Das eigentliche Ziel ist es, die Kontrolle über einen Account zu erhalten und sich so Zugriff auf die interne Kommunikation zu verschaffen. Dasselbe Endziel hat ein Man-in-the-Middle Angriff. Jedoch bedient sich diese Technik ganz anderer Angriffswege. Ein Man-in-the-Middle Angriff liest die Kommunikation zwischen der Cloud-Anwendung sowie dem Nutzer mit. Hierbei versuchen die Angreifer, die Eingabe von Passwort und Nutzerkennung abzufangen. Dafür gibt es wiederum verschiedene Techniken, wie etwa das Mitschreiben von Tastatureingaben mittels Schadsoftware, die Angreifer gezielt auf dem System des Nutzers platziert haben.
Eine abgeschlossene Bedrohungsanalyse beleuchtet also die Schwachstellen einer spezifischen Anwendung oder eines Systems und findet eine Vielzahl solcher konkreten Angriffswege und potenzieller Bedrohungen. Die Bedrohungsanalyse erfolgt immer mit dem Hintergedanken „Was wäre wenn?“. So wird simuliert, welche Auswirkungen ein erfolgreicher Angriff über einen bestimmten Weg hat. Dies kann sehr umfangreiche Ausmaße annehmen, etwa, wenn ein erfolgreicher Angriff mit Ransomware auf die gesamte IT-Infrastruktur simuliert wird.
Denken wie ein Angreifer – die Ziele des Cyber Threat Hunting
Das Threat Modeling will in erster Linie das Niveau der Cyber Security innerhalb einer Organisation verbessern. Dabei kommt eine komplett andere Herangehensweise zum Einsatz als beispielsweise bei einer Antiviren-Software. Während diese nach bekannten Bedrohungen und Schadsoftware wie Ransomware sucht, verfolgt die Bedrohungsanalyse eine andere Strategie: Deren Ansatz ist, theoretische Angriffsmuster und Schwachstellen zu identifizieren, die Angreifer in einem realen Szenario nutzen. Dies zielt besonders auf die Advanced Persistant Threats ab, bei denen klassische und passive Sicherheitsmaßnahmen oft versagen, weil die Angreifer eben keine Standardmethoden einsetzen. Um dies zu erreichen, ist es wichtig, dem Angreifer einen Schritt voraus zu sein. Dies gelingt durch einen aktiven Ansatz der Cyber Security – dem Cyber Threat Hunting. Anstatt passiv zu sein, was beispielsweise bei Firewalls und Antiviren-Software der Fall ist, die erst reagieren, wenn ein Vorfall im Netzwerk stattfindet, agiert die Bedrohungsanalyse, bevor etwas passiert. Durch Prävention statt Schadensbegrenzung verhindert die Bedrohungsanalyse, dass es überhaupt zu erfolgreichen Angriffen durch Hacker kommt. Im Kern ist ein solches Vorgehen sehr logisch. Wenn die möglichen Angriffswege, die Hacker nutzen, erkannt und geschlossen sind, reduziert sich die Bedrohung durch Advanced Persistant Threats und andere Attacken deutlich.
Technische Lösungen für das Cyber Threat Hunting
Eine Bedrohungsanalyse erfordert intensive manuelle Arbeit, kostet viel Zeit und setzt tiefgehendes fachliches Wissen voraus. Dabei gibt es auch Softwarelösungen von IT-Dienstleistern, die diesen Bereich der Cyber Security abdecken, wie den Active Cyber Defense (ACD) Service von secion. ACD stellt eine proaktive Technik dar, Aktivitäten von Hackern im eigenen Netzwerk umgehend zu erkennen. Durch den 24/7 Active Cyber Defense Service ist es möglich, ein eigenes Security Operations Center sowie die Bedrohungsanalyse zu ersetzen beziehungsweise sinnvoll zu ergänzen.
Der ACD-Service basiert auf Scans und Auswertungen von Log-Daten in Echtzeit. Eine Installation vor Ort ist nicht notwendig, da die Analysen über das Netzwerk erfolgen. Dabei sucht der ACD-Service kontinuierlich nach auffälligen Aktivitäten, die außerhalb der Norm liegen. Hierzu gehört beispielsweise die Kommunikation von Schadsoftware mit einem Command & Control Server. In einem solchen Fall alarmiert der ACD-Service die zuständigen Personen in der Cyber Security des betroffenen Unternehmens, so dass sofortige Gegenmaßnahmen möglich sind. Auf diese Weise verhindert der ACD-Service, dass Angreifer unentdeckte Sicherheitslücken im Netzwerk ausnutzen und weitreichende Schäden anrichten.
Fazit
Aufgrund der zunehmenden Bedrohung durch Ransomware, Advanced Persistant Threats und andere Aktivitäten von Cyberkriminellen steht die Cyber Security von Unternehmen zunehmend unter Druck. Hinzu kommt die fortschreitende Digitalisierung, so dass Unternehmensnetzwerke stetig wachsen. Die Konsequenzen einer erfolgreichen Cyberattacke, beispielsweise mit Ransomware, sind verheerend. Der komplette Verlust aller digitalen Daten und ein Arbeitsausfall auf unbestimmte Zeit stehen im Raum. Deshalb ist die Bedrohungsanalyse inzwischen ein unverzichtbarer Teil der Cyber Security, um sich aktiv in diese Richtung abzusichern.
Sinnvoll ist es, diese Aufgabe an einen externen Dienstleister zu übertragen. Der ACD-Service fügt der Cyber Security ein zusätzliches Sicherheitslevel hinzu, das genau den Bereich abdeckt, den auch die Bedrohungsanalyse versucht zu schließen.
Haben Sie Fragen zu diesem Beitrag oder benötigen Sie eine Beratung zu diesem Thema?
Kontaktieren Sie unsere Experten!
Zum Thema passende Artikel
Während die Fertigungsbetriebe umfassend in die notwendige digitale Infrastruktur für das IIOT (Industrial Internet of Things) investieren, bleibt die IT Security zumeist auf der Strecke. IT-Sicherheitsmaßnahmen gegen Cyberbedrohungen und unterschiedlichste Cyberangriffe beruhen viel zu häufig noch auf veralteten Sicherheitskonzepten. Warum mehrschichtige Cyber-Verteidigungssysteme jetzt unabdingbar werden und wie sich durch Threat Hunting und Active Cyber Defense die IT Security in einem Produktionsbetrieb deutlich erhöhen lässt, erfahren Sie in diesem Beitrag.
Es spielt keine Rolle, ob Sie alle möglichen Sicherheitslösungen installiert haben - wenn Eindringlinge erst einmal in Ihre Systeme eingedrungen sind, haben eine oder mehrere dieser Kontrollen versagt und sie werden in Ihrem Netzwerk Schaden anrichten - bis Sie sie schließlich entdecken. Wie wir wissen, kann das Monate dauern. Wenn es Ihr Ziel ist, die Integrität Ihres Netzwerks zu erhalten, bietet Threat Hunting die ultimative Überprüfung, ob Sie sicher sind.
Weiterlesen … Warum Threat Hunting zu einer Standardanforderung in der Cyber Security werden sollte
Phishing, Ransomware, Datenspionage – die Liste der Cyberbedrohungen ist lang. Gleichzeitig gehen Cyberkriminelle immer raffinierter und professioneller vor. Folglich nimmt das Risiko, Opfer einer Cyberattacke zu werden, in Deutschland und auf der ganzen Welt weiter zu. Vor allem kleine und mittlere Unternehmen verfügen gewöhnlich nicht über die nötigen Ressourcen, um Cyberangriffe selbst rechtzeitig zu erkennen und so abwehren zu können. Die Nachfrage nach Managed Security Service Providern (MSSP) und deren vielfältigen Leistungsangeboten ist daher ungebrochen hoch. Wir verraten Ihnen, worauf Sie bei der Wahl eines externen Dienstleisters achten sollten.
Weiterlesen … Managed Security Services: So gefragt wie nie zuvor