Angriffssimulationen und bedrohungsorientierte Red-Teaming-Tests

Mit dem Rahmenwerk DORA treten bereits aus TIBER-EU bekannte spezielle Penetrationstest-Arten wieder in den Fokus von Unternehmen und Behörden. DORA fordert sogenannte "grundlegende Tests" der digitalen operationellen Resilienz wie Schwachstellenscans und Penetrationstests. Zusätzlich umfassen die Forderungen für besonders ausgereifte (hinsichtlich ihrer Informations- und Kommunikationstechnologien/IKT) und systemisch relevante Unternehmen aber auch erweiterte Tests wie das sogenannte “Threat-Led Penetration Testing”, also bedrohungsorientierte Penetrationstests.

Ziel dieser bedrohungsorientierten Tests ist es, umfangreiche Prüfungen möglichst vieler IT-Sicherheitsaspekte durchzuführen, die auch von realen Angreifern gezielt bedroht werden. Die Vorgehensweise wird dabei stark an für das jeweilige Unternehmen relevante Risiken und von Angreifern verwendete Methoden angeglichen. So soll sichergestellt werden, dass die teilweise erheblichen Aufwände der beteiligten Stakeholder sinnvoll eingesetzt und zur zielgerichteten Verbesserung wichtiger IT-Sicherheitsaspekte genutzt werden.

Grundsätzlich enthalten diese Projekte neben den Vorbereitungs- und Abschlussphasen zwei Test-Phasen:

  • eine Threat-Intelligence-Phase zur Sammlung von Informationen
  • die Red-Teaming-Tests selbst, deren Szenarien von den Threat-Intelligence-Ergebnissen abgeleitet werden
     

Aufwände und Kosten

DORA fordert nach aktuellem Stand eine Mindestdauer von etwa zwölf Wochen für die aktiven Red-Teaming-Tests (Draft Regulatory Technical Standards specifying elements related to threat led penetration tests, Seite 13, Punkt 40). Da ein Red Team auch bei TLPT nach DORA aus mehreren Personen besteht, entsteht ein gewisser Aufwand. 

Dies ist ähnlich zu den TIBER-DE-Tests, bei denen laut einer Aussage von Dr. Jürgen Walter, TIBER Test Manager im TIBER Cyber Team der Deutschen Bundesbank, in einer virtuellen Gesprächsrunde im BANKENNETZWERK vor zwei Jahren (https://www.youtube.com/watch?v=8g7uhBbOvIg) zwischen 90 und 125 Tagessätzen für die Durchführung von Threat-Intelligence und Red-Teaming-Tests und damit Kosten von 200.000 bis 300.000 EUR üblich sind. 

Die Zahlen geben eine Orientierung zu allgemein zu erwartenden Aufwänden, die natürlich projektspezifisch abweichen können. Wie stark die Aufwände für DORA-TLPT davon abweichen, wird sich besser einschätzen lassen, wenn die finalen Dokumente dazu veröffentlicht wurden.
 

Bedrohungsorientierte Red Teaming und Penetrationstests bei HiSolutions

Wir bei HiSolutions halten die Vorgehensweise von TIBER und TLPT für grundsätzlich geeignet, da sich damit nachvollziehbar und vergleichbar relevante Angriffstechniken und Risiken praktisch prüfen lassen. 

Ziel unserer Red-Teaming-Projekte ist grundsätzlich immer, möglichst sinnvolle Angriffsszenarien zu identifizieren und zu prüfen und weder „irgendwas zu testen, worauf jemand gerade Lust hat“, noch „unter allen Umständen gegen das Blue-Team, also die Verteidiger, zu gewinnen“. Aus diesem Grund fließen Threat-Intelligence-Informationen, welche wir unter anderem in Kooperation mit unserer internen Incident-Response- und -Forensik-Abteilung erheben, in die Szenario-Gestaltung ein.

Da die benannten Aufwände nicht in jedes Budget passen und auch nicht immer verhältnismäßig sind, bieten wir bedrohungsorientierte Red-Teaming- und Penetrationstests in verschiedenen Abstufungen und Größenordnungen an.

Kontaktieren Sie mich gerne, um ein für Sie passendes Projekt zu finden!


Ein Beispiel für ein überschaubareres Projekt

Um die Aufwände für ein Projekt zu reduzieren, kann ein Ansatz mit einer offeneren Zusammenarbeit zwischen Angreifern und Verteidigern (sogenanntes Purple Teaming) gewählt und auf ein relevantes, öffentlich bekannt gewordenes Szenario zurückgegriffen werden. Ein geeignetes Beispiel wären etwa die Angriffsmerkmale der „SVR Cyber-Akteure“, die beispielsweise vom National Cyber Security Centre veröffentlich wurden. 

In dem Advisory (https://www.ncsc.gov.uk/news/svr-cyber-actors-adapt-tactics-for-initial-cloud-access) sind unter anderem folgende Angriffe beschrieben:

  • Zugriff über Dienstkonten und nicht mehr verwendete Accounts: Die Angreifer griffen gezielt technische Konten an, die nicht über Schutzmechanismen wie Multi-Faktor-Authentifizierung verfügten. Auch führten sie Passwort-Rate-Versuche gegen Konten von Mitarbeitenden durch, die nicht mehr im Unternehmen waren – dies vermutlich in der Hoffnung, dass diese weniger starken und ggf. veralteten Passwort-Richtlinien unterlagen und temporäre Account-Sperrungen nicht bemerkt werden würden.
  • Verwendung von Cloud-Token: Die Angreifer griffen gezielt Sitzungstoken, etwa von kompromittierten Systemen ab oder verwendeten diese nach einem initial geglückten Login-Versuch für weitere Anfragen an Cloud-Ressourcen weiter.
  • Hinzufügen neuer Geräte zur Cloud-Verwaltung: In mehreren Fällen wurde beobachtet, wie die Angriffstechnik „MFA Fatigue“ eingesetzt wurde. Dabei führen Angreifer so lange Login-Versuche mit gültigen Zugangsdaten (aber ohne Zugriff auf den zweiten Faktor, etwa die Microsoft Authenticator App) durch, bis das Opfer eines der MFA-Pop-Ups bestätigt, etwa in der Annahme, dass seine eigene Benutzung seines Geräts der Auslöser für die Anfragen ist. Nach initialem Zugriff zur Cloud-Umgebung registrierten die Angreifer neue Geräte in der Umgebung. Bei fehlenden oder unzureichenden Geräte-Validierungs-Regeln ist es dann möglich, dass Netzwerkkonfigurationen und Einstellungen automatisch auf die Angreifer-Geräte aufgespielt werden und anschließend der Zugriff zum internen Unternehmensnetzwerk möglich ist.
  • Standortnahe Proxy-Dienste: Angreifer verwendeten gezielt Proxy-Dienste mit Standorten etwa in Wohngebieten in Ländern, in denen das Unternehmen tätig war, um den Netzwerkverkehr und die Zugriffe weniger auffällig zu gestalten.

Weitere Details entnehmen Sie gerne dem verlinkten Beitrag (Englisch) oder der darin verlinkten PDF-Datei.

Basierend auf diesen Angriffstechniken könnte man nun, wenn die Angreifer-Gruppierung für Ihr Unternehmen ein relevantes Risiko darstellt, ein passendes Red- oder Purple-Teaming-Szenario zusammenstellen, das alle oder auch nur einen Teil der beobachteten Techniken umfasst. Ziel des Projekts wäre dann herauszufinden, ob Ihre IT-Sicherheitsmaßnahmen diese Angriffe verhindert oder erkannt hätten. Falls ja, wird zudem geprüft, ob die vorgesehenen Reaktionen auf IT-Sicherheitsvorfälle eingehalten werden und effektiv sind, um den Angriff einzudämmen.

Falls kein aktuelles Angriffsszenario für Sie passt, können wir auf eine größere Menge anderer Szenarien zurückgreifen, die wir in der Vergangenheit erfolgreich verwendet oder beobachtet haben. Diese werden zuvor natürlich so stark anonymisiert, dass dabei Details aus den Projekten und zu den Unternehmen nicht erkenntlich sind.

Kontaktieren Sie mich gerne, um ein für Sie passendes Projekt zu finden!
 

Jetzt teilen: