BESTANDSAUFNAHME ANGRIFFSFLÄCHEN

Ziele

Angriffsflächen für Cyberattacken sind vielfältig. Ziel der Bestandsaufnahme ist das Aufdecken und Kategorisieren möglichst vieler potentieller Angriffsflächen. Betrachtet werden IT-Systeme, Geräte, Sensoren, Infrastruktur, Protokolle, Anwendungen und Schnittstellen in möglichst repräsentativ ausgewählten Segmenten eines Netzwerkes. Dabei soll das Ergebnis nicht ein konkreter Nachweis ausnutzbarer Schwachstellen sein, sondern ein Übersichtsbild der Infrastruktur wie es sich einem Angreifer darstellt.

Die daraus gewonnenen Information unterstützen in einem folgenden Schritt die Definition und Durchführung direkter Maßnahmen zur möglichst weitgehenden Verkleinerung der Angriffsflächen. Sie bieten auch eine exzellente Basis, um tiefer gehende Analysen vorzubereiten oder vermutete Angriffsflächen und Schwachstellen in einem gezielten Pentest zu prüfen bzw. nachzuweisen.

Definition

Eine Bestandsaufnahme Angriffsflächen

  • ist eine offene Betrachtung möglicher Angriffsvektoren aus dem Blickwinkel eines Angreifers;
  • gleicht, oder noch besser, beinhaltet einen aufklärenden Rundgang durch das Unternehmen, in dem Fragen gestellt werden;
  • wird idealerweise angekündigt und von den Mitarbeitern des Unternehmens aktiv unterstützt;
  • findet in einem Ambiente statt, das die Aufdeckung von Angriffsflächen und Schwachstellen fördert und nie nach Verantwortlichen sucht. (Stichwort „Bug Bounty“);
  • beinhaltet die Auswertung von öffentlich verfügbarer Information über das Zielsystem (Domains, Administratoren, URIs/URLs, Mail Adressen);
  • kann (nach Vereinbarung und Ankündigung) Social Engineering Komponenten beinhalten. Beispiele sind freundliches Phishing, Spear-Phishing, Pharming;
  • beinhaltet aktives Scanning des Netzwerkes und eine nicht invasive (im Gegensatz zu Pentest) Prüfung von Zielsystemen auf vorhandene Schwachstellen;
  • analysiert vorgefundenen Datenverkehr, idealerweise per Port Mirroring an zentraler Stelle;
  • betrachtet Prozesse und Regelwerke, z.B. zu Backup, Löschung, Passwortvergabe, Netzwerkzugang, Verschlüsselung, Intrusion Detection und der Nutzung von Diensten.

Die Bestandsaufnahme wird idealerweise als „Grey-Box Test“ durchgeführt, der eine weitgehend realitätsnahe Abbildung der Situation ermöglicht.

Ergebnis

Das Ergebnis einer Bestandsaufnahme Angriffsflächen ist eine detaillierte schriftliche Darstellung der vorgefundenen Infrastruktur und Topologie. Im Fokus liegt dabei die Information aus dem aufklärenden „Rundgang“, wie sie auch ein potentieller Angreifer als Vorbereitung für den eigentlichen Angriff sammeln würde.

Die Darstellung enthält alle

  • sichtbaren bzw. erreichbaren Systeme und deren bekannte Eigenschaften,
  • erkannten Risiken, soweit möglich im Kontext Ihres Unternehmens,
  • erkannten Optimierungen für Prozesse und Richtlinien,
  • verfügbaren Ports und Schnittstellen,
  • entdeckten und potentiellen Zugriffspfade auf sensible Daten,
  • im Laufe der Untersuchung festgestellten Auffälligkeiten.

Es entsteht eine „Threat Map“ die anschaulich darlegt, wo Risiken vorhanden oder zu erwarten sind und wie kritisch deren Ausnutzung auf Ihren Betrieb wirken kann.

Sie ahnen es schon: Anders als Software-, Hardware-, Netzwerk- und Enterprise- Architekturdiagramme zeigt die Threat Map nicht die Sicht der „Verteidiger“, sondern die Sicht der Angreifer. Sie zeigt nicht den Status vorhandener Abwehrmaßnahmen und Prozesse, sondern die Chancen, die sich einem Angreifer bieten.

Das ist äußerst wichtig und wird häufig unterschätzt, deshalb ein anschaulicher Vergleich: Ein Einbrecher wird sich niemals mit den perfekt vergitterten Fenstern im ersten Stock auseinandersetzen, wenn im Keller ein Lüftungsfenster nur angelehnt ist. Im Unterschied zu einem Einfamilienhaus kann das in der Informationstechnologie sehr schnell übersehen werden, vor allem wenn niemandem bewusst ist, dass da tatsächlich ein Fenster ist.

Die Ergebnisse, inklusive besagter Chancen, werden in einer Ergebnispräsentation eindrucksvoll veranschaulicht.