Die Angriffssimulation: So agiert das secion Red Team zum Schutz Ihres Unternehmens

Angenommen, ein Angreifer nimmt gerade Zugriff auf Ihre internen Netzwerke: Was hätte dies aktuell für Konsequenzen für Ihre Organisation? Würde der Angriff zeitnah erkannt und unterbunden werden?

Trends der letzten Jahre zeigen auf, dass IT-Sicherheitsvorfälle zunehmen und langfristig unvermeidlich sind. Dennoch fehlt oft das Bewusstsein, dass es notwendig ist, frühzeitig und effektiv auf derartige Vorfälle reagieren zu können, um kritische Schäden abzuwenden.

Erklärvideo

Laut dem Mandiant M-Trends Report 2017 beträgt die durchschnittliche Zeit bis zur Erkennung eines Angriffs im weltweiten Durchschnitt 99 Tage, wobei der entscheidende Hinweis auf den Angriff in 47% der Fälle von außerhalb des betroffenen Unternehmens erfolgte.* Könnten Sie feststellen, welcher Schaden in Ihrem Unternehmen in einer solchen Zeitspanne bereits angerichtet wurde? Bei Eintritt eines solchen Worst Case Szenarios ist die Reaktionszeit Ihres Unternehmens entscheidend für das Ausmaß des Schadens, das durch einen erfolgreichen Angriff hervorgerufen wird.

Warum Angriffssimulation und kein Pentest?

Als Abwehrzelle steht in der Regel die IT-Abteilung von Unternehmen in der Verantwortung, einen erfolgreichen Angriff so schnell und umfassend wie möglich zu identifizieren und effektive Abwehrmaßnahmen umgehend einzuleiten.

Eine kontinuierliche Reduktion der „Time To Detection“ (Erkennungszeit, bis der Angriff identifiziert ist) ist das wesentliche Ziel des secion Red Teams. Dieses wird im Rahmen einer kollaborativen Zusammenarbeit zwischen den „Akteuren“ des Red Teams und Ihnen als auftraggebendes Unternehmen verfolgt.

Im Gegensatz zu klassischen Penetrationstests steht hierbei nicht die Identifikation von technischen Schwachstellen in ausgewählten IT-Systemen im Vordergrund, sondern das Feststellen und die Abwehr von realen Gefahren für die kritischen Vermögenswerte und Kernprozesse Ihrer Organisation. Dafür werden konkrete Zielvorgaben eines fiktiven Angreifers unter Einbeziehung einer realistischen Motivation zugrunde gelegt.

Im Rahmen einer umfassenden Angriffssimulation beziehen die IT Security Consultants unseres Red Teams die gesamte Umgebung Ihres Unternehmens mit ein, um diese Ziele zu erreichen. Sie sind bevollmächtigt, frei und uneingeschränkt als Angreifer zu agieren – ohne:

  • vorab festgesetzte Zielsysteme
  • definierte Zeitfenster und Durchführungszeitpunkte der Aktivitäten
  • begrenzenden Testumfang und
  • restriktive Handlungseinschränkungen.

Stattdessen stehen im Mittelpunkt der Angriffssimulation:

  • Realistische Szenarioziele und nachvollziehbare Tätermotivation
  • Kombination von elektronischen, physikalischen und sozialen Angriffsebenen
  • Konzentration auf unauffälligere bzw. subtilere Vorgehensweisen
  • Fokus auf relevante Systeme, Prozesse und Informationen

Diese fundamentalen Unterschiede im Vergleich zu Penetrationstests ermöglichen es, den Fokus auf reale Geschäftsrisiken zu legen, um somit eine wirksame Verteidigung gegen echte, dynamisch agierende Angreifer aufzubauen.

Die Angriffssimulation stellt somit auf umfassende und realistische Weise die

  • Leistungsfähigkeit der organisationseigenen Überwachungssysteme,
  • die Reaktionsfähigkeit bei Sicherheitsvorfällen,
  • Effizienz der Gegenmaßnahmen,
  • vorhandene Sicherheitsarchitektur und
  • Awareness des Personals

auf den Prüfstand.

Die ermittelte Kennzahl Ihrer aktiven Abwehrleistung ist dabei die Time To Detection (TTD), die es möglichst effektiv zu reduzieren gilt. Zusätzlich wird mit der Time To Adversary Success (TTAS) erfasst, wie lange die simulierten Angreifer benötigen, um ihre Szenarioziele zu erreichen. Diese Zeitspanne sollte dabei durch defensive Maßnahmen verlängert werden.

Intention unseres Red Teams ist es, möglichst lange handlungsfähig zu bleiben, um über einen längeren Zeitraum sensible Informationen Ihres Unternehmens auszuspähen und das selbst gewählte Szenarioziel zu erreichen.

Diese Motivation entspricht der eines realen Angreifers, der einen zielgerichteten und effektiven Angriff auf Ihre kritische IT-Infrastrukturen bzw. sensiblen Daten plant. Häufig stehen dabei der Vorsatz von Finanzbetrug, Abschöpfen von Geschäftsgeheimnissen (z.B. Pläne eines Prototypen), Sabotage oder sogar politisch motivierte Ziele im Fokus.

Hauptzielgruppe solch komplexer Internet-Spionage sind damit Behörden sowie Groß- und Mittelstandsunternehmen insbesondere von Branchen, die aufgrund ihres Technologievorsprungs potentielle Opfer darstellen.

Durch immer komplexer und heimtückisch geplante Angriffe ist es heutzutage für Sicherheitsverantwortliche von Unternehmen elementar wichtig, die Taktiken von Angreifern und deren eingesetzten Mittel und Wege für ihre Zielerreichung zu verstehen. Daraus die richtigen Schlussfolgerungen für die Optimierung Ihrer Überwachungsmechanismen zu ziehen, ist entscheidend für die Informationssicherheit Ihres Unternehmens. Durch den Einsatz des secion Red Teams optimieren Sie die Angriffsabwehr Ihrer Organisation maßgeblich und sind dem realen Angreifer einen entscheidenden Schritt voraus.

Patrick Jung, Leiter Professional Services, secion GmbH

Fazit

Durch das Verfahren des Red Team Pentesting werden die Voraussetzungen zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit Ihrer technischen, organisatorischen und verhaltensbezogenen Maßnahmen geschaffen.

Somit ist dieses Verfahren auch eine sinnvolle Grundlage für die erfolgreiche Implementierung eines ISMS (Informationssicherheitsmanagementsystem) in Ihrem Unternehmen.

* Mandiant M-Trends 2017