Unter "Assume Breach" wird, wie der Name schon sagt, eine neue Herangegensweise im Bereich der Penetrationstests an potentielle Angriffszenarien verstanden. Dabei wird davon ausgegangen, dass ein Angreifer es auf jeden Fall schafft Fuß im Unternehmen zu fassen. Der Fokus ist hier also nicht generell Angriffe zu verhindern, sonder viel mehr proaktiv zu schauen, welche Auswirkungen ein Angriff haben könnte und daraus Schlussfolgerungen zu ziehen.
Die Grundidee hier ist es, dass es mittlerweile nahezu unmöglich ist, ein Unternehmen vor Angriffen zu schützen - die Praxis zeigt es immer wieder. Unternehmen, die Millionen in Abwehr stecken und trotzdem gehackt werden. Grund hierfür ist die Tatsache, dass echte Angreifer und APT wahnsinnig kreativ sind und immer wieder neue Exploits programmieren, neue Typen von Lücken finden und es am Ende doch immer jemanden gibt, der den suspekten Anhang öffnet.
Was sind Ziele von Assume Breach?
Der wichtigste Punkt hier ist die interne Kompetenz zu stärken, so dass Angriffe und bestimmte Verhaltensmuster innerhalb des Unternehmensnetzwerks schneller erkannt werden. Kernaspekt der meisten Angriffe ist außerdem die Ausbreitung im internen Netzwerk - mit Hilfe von Assume Breach-Szenarien kann die IT interne Netzwerke besser segmentieren und es werden allgemein Schwachstellen aufgedeckt. Auch das Verhindern bzw. Minimieren von Schäden und Datenexfiltration ist ein relevanter Punkt - Assumed Breach-Szenarien helfen dabei, die Firewalls und Intrusion Detection Systeme zu verbessern und so Angriffe schneller zu erkennen.
Ein Assume Breach-Szenario ähnelt viel mehr einem echten Angriff eines APT, als ein klassischer Penetrationstest. Auch hier würde man davon ausgehen, dass der Angreifer im Netz ist, weil beispielsweise ein Mitarbeiter auf einen Link geklickt hat oder etwas geöffnet hat.
Vorgehen bei einem Assume Breach-Assessment?
Zusammen mit dem Kunden wird in der Regel ein Szenario definiert. Das kann beispielsweise ein unzufriedener aktueller Mitarbeiter (Insider Threat) sein, der via VPN Zugriff zum Netzwerk hat. Manchmal sollen besonders gefährdete Mitarbeitergruppen getestet werden. Ein Beispiel hierfür sind HR-Mitarbeiter, die oft mit Bewerbungen bzw. E-Mail-Anhängen zu tun haben. In so einem Szenario wird davon ausgegangen, dass der PC der Mitarbeiter kompromittiert ist und der Angreifer von dort aus versuchen wird sich weiter auszubreiten.
Vorteile von Assume Breach?
- Aktuelle Sicherheitsmaßnahmen werden unter realistischen Bedingungen geprüft.
- Technische und organisatorische Schwachstellen können gezielt aufgedeckt werden.
- Test von Erkennungs- und Abwehrmechanismen sowie Optimierung dieser.
- Kontinuierliche Anpassung von Sicherheitsmaßnahmen auf Basis von Testergebnissen und neuen Bedrohungsszenarien.
- Effektiver als isolierte Penetrationstests und breit gefächerte Red Teamings.
Abgrenzung zu internen Penetrationstests und Red Teaming?
Assume Breach-Penetrationstests testen in der Regel ein ganz bestimmtes Angriffsszenario und verhalten sich dabei, wie ein echter Angreifer. Man könnte vermuten, dass es sich hierbei um einen internen Penetrationstest handelt - es gibt gewisse Ähnlichkeiten. Wichtig ist aber zu sagen, dass die Ziele grundlegend anders sind - und damit das Vorgehen. Der reguläre interne Penetrationstest nutzt diverse Tools, ist "laut" und in der Regel einfach zu erkennen.
Red Teaming hingegen ist vom Vorgehen und Methodik vergleichbar mit einem Assume Breach-Angriffsszenario, das Red Team versucht nicht aufzufallen und möglichst leiste das geforderte Ziel zu erreichen. Der Unterschied hier ist aber, dass Red Teaming in der Regel ein breiteres Spektrum an Angriffsszenarien abdeckt und auch die physische Sicherheit mit einbezieht. Das Red Team muss erst in die Position kommen, die bei Assume Breach als Ausgangslage verwendet wird. Das macht Red Teaming oft kostenintensiver und aufwendiger.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.