Die Angriffspfadanalyse ist ein wichtiges Tool zur Bekämpfung der immer raffinierteren Methoden von Angreifern.
Entdecken Sie Surface CommandBei der Angriffspfadanalyse wird vereinfacht grafisch dargestellt, über welche Wege böswillige Akteure Ihre On-Premise- und Cloud-Umgebungen passieren können. Angreifer können über diese verschiedenen „Pfade“ auf sensible Informationen zugreifen und eine gefährdete Konfiguration oder Ressource für ihre Zwecke ausnutzen. Es fällt nicht schwer, sich die schiere Anzahl der möglichen Angriffswege auf Unternehmensebene vorzustellen.
Durch die Untersuchung dieser Daten in Form eines Angriffsdiagramms ist es einfacher, ein Echtzeit-Verständnis des Risikos zu erhalten und Beziehungen zwischen kompromittierten Ressourcen und deren Auswirkungen auf Ihr größeres Netzwerk zu identifizieren. Zu diesem Zweck scheint die Mehrheit der Sicherheitsteams Angriffswege schnell zu finden und diese verantwortungsvoll zu beheben. Schätzungsweise 75 % der Gefährdungen erwiesen sich als Sackgassen, die von Angreifern nicht ausgenutzt werden konnten.
Engpassstellen beziehen sich auf Orte, an denen potenzielle Angriffspfade zusammenlaufen, und es ist ein wichtiges Einfallstor zu sensiblen Daten und Assets. Die kritische Natur einer Engpassstelle ist auch das, was sie zu einem hervorragenden Ort macht, um anomale Aktivitäten zu identifizieren und genau zu vereinfachen, was Sie untersuchen müssen. Hier können Protokolle zentralisiert und grundlegende Verhaltensweisen festgelegt werden, damit Teams wissen, was normal aussieht und was nicht, wenn es die Engpassstelle passiert.
Es gibt eine Reihe von Begriffen, die nicht nur ähnlich klingen wie „Angriffspfad“, sondern sich auch in Bezug auf Definition und Funktion überschneiden. Im Folgenden sehen wir uns einige wesentliche Unterschiede zwischen den einzelnen Begriffen an.
Ein Angriffspfad ist die visuelle Darstellung eines bestimmten Weges, auf dem ein Angreifer auf sensible Daten zugreifen oder den Systemzugriff zur Ausnutzung von Schwachstellen missbrauchen könnte. Der Angriffspfad wird in der Regel durch ein Diagramm dargestellt und kann über Daten, die eine Cloud-Sicherheitslösung aus Konten und zugehörigen Services gewinnt und analysiert, abgerufen werden. Die Lösung sollte dann die Quelle, das Ziel und den Schweregrad eines Angriffspfads kommunizieren können.
Ein Angriffsvektor ist im Wesentlichen der Prunkt, an dem der Angreifer in ein System eindringt. Von dort aus würde der Angreifer den Angriffspfad zu den gewünschten Informationen oder Ressourcen nehmen. Malware beispielsweise hat drei Hauptvektortypen – Trojaner, Viren und Würmer – die typische Kommunikationen wie E-Mails ausnutzen. Weitere typische Vektoren sind Systemeintrittspunkte wie kompromittierte Anmeldeinformationen, Ransomware, Phishing-Angriffe und die Ausnutzung von Cloud-Fehlkonfigurationen.
Die Angriffsfläche umfasst eine Reihe gefährdeter Angriffsvektoren in einem Netzwerk (sowohl On-Premise als auch in der Cloud), über die sich Angreifer Zugang verschaffen können. Einzelne Angriffsvektoren sorgen für kleinere Sicherheitslücken. Doch durch die Kombination all dieser Einstiegspunkte entsteht eine größere Schwachstelle, die gewöhnliche Netzwerke in dynamische Angriffsflächen verwandeln kann. Die Angriffsfläche weist Vektoren auf, über die sich ein Angreifer seinen Weg zu sensiblen Assets und Daten bahnen kann.
Mit der Angriffspfadanalyse können Sicherheitsteams Echtzeit-Risiken in Cloud-Umgebungen visualisieren. In dem Bestreben, potenziell toxische Kombinationen aufzudecken – die ursprünglich eigens in das Netzwerk integriert wurden, um von Nutzen zu sein –, gewinnen die Teams ein Verständnis für den aktuellen Gesundheitszustand ihres Netzwerks. Sind das Unternehmen und der Betrieb derzeit einem höheren Risiko ausgesetzt, oder zeigt sich, dass die Lage in Wirklichkeit relativ sicher ist?
Als Beispiel für die Vorgehensweise beim Management und der Analyse von Angriffspfaden dient das Konzept des Identity and Access Management (IAM). Ist die Umgebung ohne das vorherige Wissen des Sicherheitsteams tatsächlich anfällig für Kontoübernahmen, die einem Angreifer Tür und Tor öffnen würden?
Zugangsdaten könnten entwendet und ausgenutzt werden, um sich weiteren Zugriff auf Kundendaten oder geistiges Eigentum zu verschaffen. Wird ein IAM-System kompromittiert und Zugangsdaten gestohlen, kann ein Angreifer auf so ziemlich alles Zugriff erlangen. Dabei könnte er folgendermaßen vorgehen:
Um solche Angriffsbewegungen schneller zu erkennen – oder sie zu blockieren, bevor sie überhaupt entstehen können –, müssen Sie unbedingt proaktiv handeln. Folgende Aspekte sind dabei besonders wichtig:
Die Angriffspfadanalyse ist ein wichtiges Tool zur Bekämpfung der immer raffinierteren Methoden von Angreifern. Durch sie können Sicherheitsorganisationen besser verstehen, dass bestimmte Konfigurationen und Verknüpfungen zwar auf der einen Seite vorteilhaft sind, auf der anderen Seite aber auch Schwachstellen bergen können, die ausgenutzt werden können.
Die Angriffspfadanalyse sollte Bestandteil einer ganzheitlichen Cloud-Sicherheitslösung sein, deren Schwerpunkt auf einer schnellen Zuordnung und Identifizierung von Angriffspfaden liegt. Dadurch wird auch mehr Sichtbarkeit und ein besseres Verständnis dafür geschaffen, wie das Netzwerk bei gleichzeitiger Aufrechterhaltung des Geschäftsbetriebs am besten gesichert werden kann.
Die Priorisierung von Risiken ist ein Resultat aus den oben genannten Aspekten. Sie bietet den Vorteil, dass jederzeit klar ist, wo Analystenarbeit geleistet werden muss, und dass aufkommende Bedrohungen proaktiv abgewehrt werden.
Der größte Vorteil für Sicherheitsteams besteht darin, dass sie sich dank der Sichtbarkeit, Geschwindigkeit und Risikopriorisierung, die eine Angriffspfadanalyse bietet, besser denn je in Angreifer hineinversetzen können. Da Bedrohungsakteure schnell handeln müssen, wenn sie einem hohen Entdeckungsrisiko ausgesetzt sind, legen sie bereits im Vorfeld bestimmte potenzielle Angriffsschritte fest.
Erst wenn eine Sicherheitsorganisation anfängt, potenzielle Pfade zu identifizieren und proaktiv über die lateralen Bewegungen eines Angreifers auf der Suche nach sensiblen Informationen nachzudenken, lernt sie die Besonderheiten ihres Netzwerks wirklich kennen und weiß, wie sie es am besten vor Bedrohungen schützen kann.
Sicherheitsteams und insbesondere die nicht-technischen Stakeholder, die sich auf diese Teams verlassen, sollten sich mit den spezifischen Anwendungsfällen der Angriffspfadanalyse vertraut machen und sich darüber informieren, wie sie sie für sich nutzen können.