Breach and Attack Simulation (BAS)

Wie funktionieren BAS-Tools? 

BAS-Tools funktionieren, indem sie sich an bestimmten Taktiken, Techniken und Verfahren Tactics, Techniques and Procedures, TTPs) von Angreifern ausrichten, sodass Organisationen spezifische Simulationen ausführen können, um die Wirksamkeit ihrer Abwehrmaßnahmen zu ermitteln und für solche Szenarien Playbooks zu erstellen/automatisieren.

Konkret wird laut Gartner "eine automatisierte Validierung mit Technologie- oder Service-Funktionen wie der Simulation von Verstoß und Angriff (Breach and Attack Simulation, BAS) oder automatisierten Penetrationstests Folgendes leisten:

• Beurteilung des wahrscheinlichen Erfolgs eines "Angriffs", indem bestätigt wird, dass die Angreifer die zuvor entdeckten und priorisierten Gefährdungen wirklich ausnutzen könnten. 
• Schätzung der "höchsten potenziellen Auswirkungen", die über den anfänglichen Fußabdruck hinausgehen und alle potenziellen Angriffspfade zu einem kritischen geschäftlichen Asset analysieren.
• Identifizierung ob die Prozesse zur Ergreifung von Gegenmaßnahmen sowohl schnell genug als auch für das Unternehmen angemessen sind."

Daraus können wir schließen, dass Validierung und Geschwindigkeit wahrscheinlich die beiden kritischsten Aspekte von BAS und anderen Angriffssimulationstools sind. Der letztgenannte Aspekt - die Geschwindigkeit - wirft Fragen zu den Fähigkeiten der Mitarbeiter auf. Werden diejenigen, die auf Bedrohungserkennung und -abwehr spezialisiert sind, in der Lage sein, effizient zu handeln, um die Bedrohung nach besten Kräften zu beseitigen und potenzielle Folgen zu begrenzen?

BAS-Tools können dabei helfen, diese Lückenbereiche zu identifizieren, bevor es unweigerlich zu echten Problemen kommt, egal in welchem Ausmaß. Das Letzte, was ein Unternehmen will, ist, dass es unvorbereitet auf einen Angriff reagieren muss, ohne über die nötigen Fähigkeiten zu verfügen.

Natürlich haben viele Security Organizationen einfach nicht den Luxus, diese Qualifikationslücken zu schließen, vor allem nicht rechtzeitig — daher der Aufwärtstrend bei der Akzeptanz von Managed Security Services Providern (MSSPs).

Wie unterscheidet sich BAS von anderen Cybersecurity-Tests? 

BAS unterscheidet sich von anderen Cybersecurity-Tests dadurch, dass es sich um eine anspruchsvollere Bewertung der Fähigkeit eines Cybersecurity-Teams / -Abteilung handelt, einem ebenso oder noch anspruchsvolleren Angriff standzuhalten und diesen erfolgreich abzuwehren.

Für Cybersecuirity-Verantwortliche kann es schwierig sein, herauszufinden, welche Lösung sich am besten zum Testen ihrer Abwehrmaßnahmen und ihrer Abwehr-Bereitschaft eignet. Schauen wir uns also einige der Unterschiede zwischen den wichtigsten Funktionen an.

Schwachstellenanalyse

Bei einer Schwachstellenanalyse wird das Netzwerk einer Organisation nach Schwachstellen durchsucht, es wird jedoch nicht versucht, diese auszunutzen. Diese Funktionalität ist eine Kernfunktion für Sicherheitsteams und normalerweise der beste Weg, um sich einen ersten Eindruck davon zu verschaffen, wie anfällig ein Netzwerk für Angriffe ist. Nach einer Schwachstellenanalyse obliegt es der Organisation, zu entscheiden, wie hinsichtlich Priorisierung und Behebung weiter vorgegangen werden soll.

Penetrationstests 

Obwohl es keineswegs ein einfacher Prozess ist, führt eine Cybersecurity-Firma einen Penetrationstest (Pentest) durch, um gezielt nach Schwachstellen im Netzwerk eines Kunden zu suchen, sie auszunutzen und das Gesamtrisiko für die Organisation zu ermitteln. Dieser Prozess ist ein wichtiger Teil der Sicherheitskontrollen eines Unternehmens und motiviert das Unternehmen hoffentlich dazu, alle entdeckten Schwachstellen umfassend zu beheben. Eine spezifische Strategie gegen externe Angreifer, die über die Entdeckung dieser Schwachstellen hinausgeht, wird jedoch nicht automatisiert.

Red Teaming 

Eine Red Team-Angriffssimulation konzentriert sich auf die Verteidigungs-, Erkennungs- und Reaktionsfähigkeiten einer Organisation. Red Team-Operatoren führen in der Regel reale Angriffe und gängige TTPs durch, damit eine Organisation die Effektivität ihres Sicherheitsprogramms messen kann. Der Hauptunterschied zwischen BAS und Red Teaming ist jedoch der Unterschied zwischen Automatisierung und echten Menschen. BAS automatisiert den Prozess des realen Angreiferverhaltens, während beim Red Teaming echte Menschen mit der Durchführung der simulierten Angriffe beauftragt werden.

Warum benötigen Unternehmen die Simulation von Sicherheitslücken und Angriffen? 

Unternehmen benötigen BAS, weil ihre IT- und Sicherheitsexperten immer über den aktuellen Status und die Stärke ihrer Fähigkeiten zur Reaktion auf Sicherheitsverletzungen informiert sein sollten. Heutzutage müssen sich SOCs mit existenziellen Fragen wie den folgenden auseinandersetzen: 

• Wie groß ist das tatsächliche Risiko für das Unternehmen im Falle eines ausgeklügelten, gezielten Angriffs? 
• Sind die Detection & Response-Fähigkeiten (D&R) auf dem neuesten Stand? 
• Sind Cybersecurity-Ingenieure und -analysten darauf vorbereitet, die kritischen Assets zu schützen? 

Um einen umfassenden Überblick über die Ausweich-, Abwehr- und Remediationfähigkeiten in den IT- und Cybersecurity-Teams zu erhalten, ist die Durchführung von Stresstests (auch als Sicherheitsverletzungs- und Angriffssimulation bezeichnet) die beste Möglichkeit.

Cybersecurity Risk Management Programme können Methoden wie BAS, Pentesting, Red Teaming und andere beinhalten, sodass ein SOC das allgemeine Cyber-Risiko reduzieren und eine stärkere Sicherheitslage erreichen kann, um besser auf Angriffe reagieren zu können.

Zusätzliche Techniken 

Andere Techniken verfügen über fein abgestimmte Methoden zum Testen der Incident Response-Bereitschaft. Honeypots können zum Beispiel als Köder für Bedrohungsakteure dienen und ein wichtiger Test für die Bereitschaft des SOC sein, mit dieser Bedrohung umzugehen.

Einige Testmethoden sind für bestimmte Bereiche bestimmt, beispielsweise Sicherheitstests für das Internet der Dinge (IoT). Vom Testen der tatsächlichen Hardware bis hin zum Pentesting von Gerätenetzwerken könnten die IoT-Aktivitäten eines Unternehmens auch in einer Angriffssimulation berücksichtigt werden.

Welche Vorteile bietet die Simulation von Sicherheitsverletzungen und Angriffen? 

Welche wesentlichen Vorteile kann Transparenz durch BAS neben der Reduzierung des Cyberrisikos bieten? Lassen Sie uns über das Potenzial hinaus einen Blick auf das Netzwerk selbst werfen. 

• Wiederholbare Prozesse: BAS-Produkte führen automatisierte Tests durch. Das heißt, sie können basierend auf dem von der Sicherheitsorganisation priorisierten Netzwerksegment kontinuierlich wiederholt werden. 
• Reporting and Cybersecurity-Trends: BAS-Produkte sind in der Regel standardmäßig mit Reporting-Funktionen ausgestattet, so dass Organisationen nachvollziehen können, wie sie in bestimmten Bereichen abgeschnitten haben, und auch Trends erkennen können - ob beunruhigend oder nicht -, so dass sie entsprechende Korrekturen vornehmen können.
• Entscheidende Priorisierung und Maßnahmen: Wenn tatsächlich Trends erkannt werden oder wenn bestimmte Bereiche von kritischer Bedeutung sind, wird die Priorisierung zu einem schnelleren Prozess, der entschlossenere Maßnahmen oder Abschaltungen ermöglicht.
• Compliance: BAS-Prozesse können Cybersecurity-Teams dabei helfen, die sich ständig ändernden staatlichen, bundesstaatlichen oder territorialen Vorschriften einzuhalten.
• Partner in der Lieferkette: Zu wissen, welche Teile eines Netzwerks anfälliger für Angriffe sind, hilft nicht nur dem Unternehmen, seine Verteidigungsmaßnahmen und Netzwerkschutzprotokolle zu verstärken, sondern vermittelt auch ihren Partnern in der Lieferkette und den Anbietern Vertrauen in die Sicherheit.

Die Kenntnis des aktuellen Zustands der Schwachstellen eines Netzwerks kann dazu beitragen, gegenwärtige und zukünftige Sicherheitskomplikationen zu entschärfen, so dass ein normaler Geschäftsbetrieb der Standard ist - und keine Sicherheitsnotfälle.