Breach and Attack Simulation (BAS)

Manuelle Simulationen sind im Kern Penetrationstests, jedoch nicht mit dem primären Ziel in Systeme einzudringen, sondern mit dem Ziel Alarmsysteme zu triggern. Mit manuell zusammengestellten Tests lässt sich ein sehr großer Umfang möglicher Angriffe sehr realistisch durchführen, allerdings mit entsprechend hohem personellen und zeitlichem Aufwand. Praktisch sind manuelle Simulationen deshalb nur im Rahmen einer Produkteinführung, z.B. einer dedizierten Angriffserkennung oder nach der Einführung eines SOC sinnvoll. Erst durch die Automatisierung ist eine regelmäßige, beispielsweise monatliche Überprüfung der Angriffserkennung praktikabel.

Ein großer Nachteil manueller Simulationen ist, dass aus Zeit- und Kostengründen keine regelmäßige Prüfung stattfinden kann. Durch zusätzliche IOCs, ein Update der SIEM-Plattform oder neue Mitarbeiter im SOC kann sich jedoch die Erkennungsrate in kurzer Zeit stark verändern.

In sicherheitssensiblen Umgebunden, beispielsweise in kritische Infrastrukturen oder wenn besonders schützenswerte Daten verarbeitet werden sollten Prüfungen deshalb nicht nur einmal sondern wiederkehrend durchgeführt werden. Insbesondere kontinuierlich durchgeführte Simulationen dienen der frühzeitigen Erkennung von Schwächen und Aufrechterhaltung des Sicherheitsniveaus.

Eine Automatisierung der Breach and Attack Simulation bietet hier wichtige Vorteile:

1. Durch die Automatisierung ist überhaupt erst eine kontinuierliche Simulation und damit die ständige Überwachung der Sicherheitsmaßnahmen möglich.
2. Eine exakte Reproduzierbarkeit der Angriffe kann sicherstellen, dass die Ergebnisse verschiedener Tests zuverlässig vergleichbar sind. Bei manuell durchgeführten Angriffen ist die Gefahr von Abweichungen die zur Verfälschung der Ergebnisse führen natürlich höher.
3. Durch die bessere Vergleichbarkeit können aus der Breach and Attack Simulation automatisch reproduzierbare und damit relevante Kennzahlen für die Informationssicherheit abgeleitet werden.

Datenverkehr-generierende BAS-Software erzeugt künstlichen Datenverkehr, entweder aus aufgezeichneten PCAP-Dateien von mitgeschnittenen Angriffen oder zwischen virtuellen Maschinen, die als Angreifer und Angriffsziel dienen. Anhand der erhaltenen Logfiles und Events wird ersichtlich, welche Angriffe erkannt werden bzw. wie sich Angreifer unbemerkt im Netz bewegen könnten.

Agentenbasierte BAS-Software ist die verbreitetste Form der Breach and Attack Simulation. Hierbei werden Agenten auf verschiedenen Clients und Servern im LAN installiert. Ausgehend von diesen Agenten werden weitergehende Angriffe wie Lateral Movement oder Datenausleitung initiiert. Anders als bei einem Schwachstellenscanner wird also nicht nach konkreten Schwachstellen gesucht. Stattdessen werden weitergehende potentielle Angriffsvektoren ausprobiert.

In der Cloud betriebene BAS-Software ist am ehesten mit einem echten Angriff vergleichbar. Sie kann verschiedene Angriffe insbesondere gegen die Zugänge des Unternehmens simulieren. Dabei können verschiedene Eintrittspunkte in das Netzwerk gleichzeitig mit verschiedenen Angriffsvektoren genutzt werden. Cloud-basierte BAS wird üblicherweise als Software-as-a-Service bereitgestellt und kann deshalb mit wenig Aufwand sehr schnell eingeführt werden.

Eine Variante der Breach and Attack Simulation ist das Boundary Posture Management. Es prüft in erster Linie den Schutz vor Angriffen von außen und den Schutz vor Datenausleitung von innen. Von außen können z.B. E-Mail-basierte Angriffe oder Angriffe gegen VPN-Zugänge durchgeführt werden. Von innen werden Verbindungen zu Command&Control-Servern aufgebaut, Daten über DNS und ICMP ausgeleitet und weitere Angriffe simuliert. Mit dem BPM können speziell die vorhandene Angriffserkennung aber auch eine Data Leak Prevention (DLP) verifiziert werden.

Die Einführung einer BAS-Lösung kann aus mehreren Gründen sinnvoll sein.

Im Bereich der kritischen Infrastrukturen schreibt das BSI-Gesetz § 8a Absatz 1a KRITIS-Betreibern den Einsatz von Systemen zur Angriffserkennung vor. Die Wirksamkeit solcher Systeme kann dann beispielsweise mit einem BAS oder BPM geprüft werden.

Werden besonders schützenswerte Daten, z.B. besondere personenbezogene Daten im Gesundheitswesen oder in der Finanzbranche verarbeitet, können mit einem BAS frühzeitig  mögliche Schwächen erkannt und behoben werden.

ISO 27001:2022 fordert als neuen Control die Einführung einer Data Leak Prevention. Auch hier kann die Funktionsfähigkeit der DLP regelmäßig automatisiert mit einem BPM geprüft werden.

Wir führen eine wirksame Breach and Attack Simulation für Ihr Unternehmen oder Ihre Organisation ein. Wir definieren gemeinsam mit Ihnen Ihre Anforderungen und wählen das geeignete Produkt aus. Wir integrieren die ausgewählte BAS-Lösung in Ihre Infrastruktur und passen die Berichte an Ihre Anforderungen an.