Was ist Angriffspfad-Analyse?

Im Rahmen einer Angriffspfad-Analyse (Attack Path Analysis, APA) werden potenzielle Routen bzw. Wege identifiziert, die Angreifer ausnutzen könnten, um Ihr Netzwerk oder System zu infiltrieren. 

Die Darstellung von Angriffspfaden – das sogenannte „Attack Path Mapping“ – verschafft Ihnen ein besseres Verständnis davon, wie durch das Zusammenspiel von Schwachstellen, Fehlkonfigurationen und Berechtigungen bei Assets und Identitäten in Ihrem Netzwerk ausnutzbare Szenarien entstehen.

Bei diesem Cybersecurity-Ansatz kommen häufig Angriffsdiagramme zum Einsatz, um die jeweiligen Verbindungen zwischen kompromittierten Ressourcen und deren potenzielle Auswirkungen auf kritische Assets zu veranschaulichen. In ihrer einfachsten Form verhilft Ihnen die Angriffspfad-Analysen zu folgenden Vorteilen:

• Vergegenwärtigen der Beziehungen zwischen Assets, Identitäten und Risiken, die Angreifer ausnutzen können, um die sinnbildlichen Kronjuwelen zu kompromittieren
• Identifizieren spezifischer Risiken, Techniken oder Knotenpunkte innerhalb eines Angriffspfads, die Angreifer ausnutzen können, sodass Angriffsketten unterbrochen oder ein oder mehrere Angriffspfade versperrt werden 
• Empfehlen konkreter Patches, Konfigurationsänderungen oder Maßnahmen, mit deren Hilfe Risiken eingedämmt werden können

Um Angreifer zu überlisten, müssen Sie ihre Denkweise annehmen. Angriffspfad-Analysen sind deshalb wichtig, weil sie Ihnen die Reihenfolge der Schritte verdeutlichen, über die Angreifer Systeme kompromittieren könnten. Angriffspfad-Analysen zeigen auf, wo sich Bedrohungsakteure innerhalb Ihrer Angriffsfläche Zugriff verschaffen und sich seitwärts fortbewegen, Rechte ausweiten und das jeweils gewünschte Ergebnis erreichen können – z. B. Störung von Diensten, Exfiltrierung sensibler Daten oder Erpressung von Lösegeld für Netzwerke oder Daten. 

Mit APA-Erkenntnissen können Ihre Sicherheitsteams proaktive Maßnahmen ergreifen, um entschlossen zu handeln und Ihre Cybersecurity-Abwehrmaßnahmen zu stärken.

• Eine Angriffsfläche beinhaltet sämtliche Möglichkeiten für Angreifer, Ihre digitalen Assets auszunutzen – angefangen bei externen Systemen bis hin zu Identitäten und Schwachstellen. Sie hängt von der Größe, Branche und dem Technologie-Stack Ihres Unternehmens ab.
• Angriffsvektoren sind Techniken, mit deren Hilfe Angreifer Schwachstellen, Fehlkonfigurationen oder übermäßige Berechtigungen innerhalb Ihrer Angriffsfläche ausnutzen könnten. Hierzu zählen ungepatchte Software-Schwachstellen, Fehlkonfigurationen, Malware, kompromittierte Identitäten usw.
• Angriffspfade sind Beziehungen zwischen Assets, Identitäten und Risiken, die Angreifer in einer bestimmten Reihenfolge ausnutzen können, um sich Zugriff auf Umgebungen zu verschaffen, sich lateral durch das Netzwerk zu bewegen und das jeweils gewünschte Ergebnis zu erreichen.

Angriffspfad-Analysen sind eng auf das MITRE ATT&CK-Framework abgestimmt, das Taktiken, Techniken und Verfahren (TTPs) von Angreifern in Kategorien unterteilt. APA ergänzt dieses Framework durch:

• Identifizierung der im MITRE ATT&CK-Framework beschriebenen TTPs, die Angreifer innerhalb Ihrer Umgebung ausnutzen können
• Identifizierung von TTP-Kombinationen, die Angreifer ausnutzen können
• Informationen zu Risikominderungsstrategien für Techniken mit hoher Priorität

Durch die Einbindung von APA in das MITRE ATT&CK-Framework lässt sich die Lücke zwischen theoretischer Bedrohungsmodellierung und umsetzbaren Sicherheitsmaßnahmen schließen.

1. Nutzen Sie Angriffspfade, um potenzielle Auswirkungen visuell darzustellen und Patch-Management und andere Gegenmaßnahmen zu validieren und zu priorisieren.
2. Spüren Sie aktive Sicherheitsverletzungen schnell auf und dämmen Sie sie ein – mit einem detaillierten Überblick über Schwächen, die zu kritischen Assets führen.
3. Identifizieren Sie nicht autorisierte Assets und Verbindungen, die die Integrität von abgeschotteten Umgebungen kompromittieren können. 
4. Identifizieren Sie risikoreiche Konfigurationen, Berechtigungen und Schwachstellen, die zu einer Kompromittierung von erfolgskritischen Anwendungen, Systemen und Identitäten führen können. 
5. Kommunizieren Sie Risiken in einer Sprache, die Führungskräfte und Vorstandsmitglieder verstehen, anstatt sich auf die Anzahl der einzelnen Risiken zu konzentrieren.
6. Verhindern Sie, dass Angreifer auf kritische Systeme und Daten zugreifen, um so Geschäftskontinuität zu gewährleisten (Business Continuity).
7. Identifizieren und beseitigen Sie Angriffspfade, die Verstöße gegen regulatorische Vorschriften zur Folge haben könnten, um Konformität mit Standards wie SOC 2 und der DSGVO sicherzustellen.

• Automatische Identifizierung aller Assets und Identitäten innerhalb Ihres Netzwerks, einschließlich nicht verwalteter bzw. Schatten-IT-Ressourcen
• Regelmäßige Aktualisierung und Bewertung Ihrer Angriffsfläche, um neue Schwachstellen oder Änderungen im Netzwerk zu erkennen
• Bereitstellung anschaulicher Darstellungen von potenziellen Angriffswegen (Angriffspfad-Visualisierung), um aufzuzeigen, wie Angreifer Schwachstellen der Reihe nach ausnutzen können
• Bewertung des Schweregrads und der potenziellen Auswirkungen von Schwachstellen, um Behebungsmaßnahmen anhand der Risiken und Asset-Kritikalität zu priorisieren
• Nahtlose Interoperabilität mit vorhandenen Sicherheitstools und Frameworks für eine einheitliche Verteidigungsstrategie
• Klare und intuitive visuelle Darstellungen von Angriffspfaden und Knotenpunkten (Angriffsdiagramm-Visualisierung)
• Automatische Identifizierung und Abbildung aller Assets, einschließlich Schatten-IT und Cloud-Ressourcen
• Kontinuierliche Nachverfolgung von Änderungen in Ihrer Umgebung, um neue Risiken und Angriffspfade in Echtzeit zu identifizieren
• Handlungsrelevante Erkenntnisse und Schritt-für-Schritt-Anleitungen zur Behebung, um Risiken zu beseitigen
• Klare Darstellung von Angriffspfaden in Echtzeit (Attack Path Mapping), mit Details zu Quelle, Ziel und Schweregrad
• Hervorhebung von Bereichen, in denen sich mehrere Angriffspfade überschneiden, um gezielte Eindämmungsmaßnahmen zu ergreifen
• Unterstützung dynamischer Cloud- und Hybrid-Umgebungen
• Benachrichtigung von Teams über kritische Risiken und empfohlene Behebungsmaßnahmen

• Angriffspfade durch Ausweitung von Zugangsdaten und Zugriffsrechten: Hier steht die Art und Weise im Vordergrund, wie Angreifer ihre Rechte mittels gestohlener Zugangsdaten, schwacher Authentifizierungsmechanismen oder fehlerhaft konfigurierter Berechtigungen ausweiten können. Techniken wie Pass-the-Hash und Kerberoasting sowie überprivilegierte Konten ermöglichen es Angreifern, sich umfangreichere Zugriffsrechte zu verschaffen, was häufig zu einer domänenweiten Kompromittierung führt.
• Lateral Movement-Angriffspfade: Diese Angriffspfade ermöglichen es Angreifern, sich nach dem Erstzugriff ihren Weg durch Netzwerke zu bahnen. Unter Ausnutzung von fehlerhaft konfigurierter Delegierung, SMB Relay-Angriffen und schwachen Gruppenrichtlinien gehen Angreifer von Konten oder Rechnern mit geringen Zugriffsrechten zu kritischeren Assets wie Domänencontrollern oder sensiblen Datenbanken über.
• Pfade durch Ausnutzung von Schwachstellen: Diese Angriffspfade beruhen darauf, dass Angreifer ungepatchte Software-Schwachstellen oder Systemschwächen ausnutzen, um sich unbefugten Zugriff zu verschaffen. Angreifer nehmen kritische CVEs, Einfallstore für Ransomware sowie fehlerhaft konfigurierte AD-Hybridumgebungen (Active Directory) ins Visier, um Code auszuführen, Rechte auszuweiten oder sich seitwärts durch Netzwerke fortzubewegen.
• Angriffspfade durch schlechte Netzwerksicherheit und Fehlkonfigurationen: Diese Angriffspfade entstehen durch unzureichende Netzwerksicherheit und Fehlkonfigurationen, die unbefugten Zugriff oder Rechteausweitung ermöglichen können. Angreifer nutzen offene Netzwerkfreigaben, ungeschützte Administrationsschnittstellen (RDP, SSH) und schwache Vertrauensstellungen in Domänen aus. Dadurch können sie in Umgebungen Fuß fassen, um dann weitere Angriffe zu verüben.
• Pfade zur Domänenkompromittierung: Hier geht es für Angreifer in erster Linie darum, Active Directory unter ihre Kontrolle zu bringen, um Authentifizierungs- und Autorisierungsmechanismen zu manipulieren. Sie machen von DC Sync-, DC Shadow- und Golden Ticket-Angriffen Gebrauch, um sich als privilegierte Benutzer auszugeben und dauerhaften Zugriff auf die gesamte Domäne zu erhalten.
• Cloud- und Hybrid-Angriffspfade: Hierzu zählen z. B. fehlerhaft konfigurierte Cloud-Umgebungen, IAM-Richtlinien (Identity and Access Management), gefährdete Storage-Buckets und schwache Identity Federation-Mechanismen, die Angreifer ausnutzen können, um cloudbasierte Ressourcen zu kompromittieren. Wenn Angreifer OAuth Token-Hijacking einsetzen oder Vertrauensstellungen in Active Directory-Hybridumgebungen missbrauchen, können sie sich unbemerkt zwischen Cloud- und On-Prem-Umgebungen hin- und herbewegen.

Durch die Einbindung von APA in Ihr Sicherheitsprogramm können Sie die Cyberhygiene wie folgt verbessern:

• Antizipieren und dämmen Sie potenzielle Bedrohungen proaktiv ein, bevor sie eintreten.
• Setzen Sie gezielte defensive Sicherheitsmaßnahmen genau dort ein, wo sie am dringendsten benötigt werden.
• Fokussieren Sie sich auf hochriskante Schwachstellen, um die Zuweisung von Sicherheitsressourcen zu optimieren.
• Verbessern Sie die Vorfallreaktion (Incident Response), indem Sie Sicherheitsvorfälle erkennen, analysieren und entsprechende Reaktionsmaßnahmen ergreifen.
• Priorisieren und beheben Sie Schwachstellen, die Bestandteile von hochriskanten Angriffspfaden sind, um das Schwachstellenmanagement und Behebungsmaßnahmen zu optimieren.
• Nutzen Sie visuelle Darstellungen von Angriffspfaden, um Risiken besser nachzuvollziehen und an technische und nicht-technische Stakeholder zu kommunizieren.
• Nutzen Sie Threat-Intelligence, um die Behebung der kritischsten Schwachstellen zu priorisieren, die für Ihre wichtigen Assets eine unmittelbare Bedrohung darstellen.
• Unterstützen Sie Compliance, indem Sie nachweisen, Sicherheitsrisiken und Schwachstellen unter Kontrolle zu haben.

Auch beim Schwachstellenmanagement bietet die Angriffspfad-Analyse Vorteile:

• Die Abbildung von Angriffspfaden kann Ihnen helfen, die kritischsten Schwachstellen aufzuspüren und zu priorisieren.
• Angriffspfad-Analyse unterstützt proaktive Risikobewertungen.
• APA konzentriert sich auf Schwachstellen in aktiven Angriffspfaden, um unnötigen Aufwand und Ressourcenverschwendung zu reduzieren.
• Trägt zu höherer Sichtbarkeit der Angriffsfläche bei, indem miteinander verknüpfte Risiken offengelegt werden.
• APA ermöglicht ein proaktives Risikomanagement, das Compliance-Initiativen unterstützt.

Tools für automatisierte Angriffspfad-Analyse funktionieren wie folgt:

• Beziehungen zwischen Assets, Identitäten und Schwachstellen werden visualisiert.
• Toxische Kombinationen und gefährliche Überschneidungen zwischen Konfigurationen und Berechtigungen werden identifiziert.
• Angriffsszenarien werden simuliert – durch Antizipation der Bewegungen von Angreifern basierend auf bekannten Taktiken und Techniken.

Bei der Auswahl eines APA-Tools sind folgende Fragen zu beantworten:

• Kann das Tool alle potenziellen Angriffspfade im gesamten Netzwerk bewerten und dabei mehrere Domänen abdecken?
• Verfügt das Tool über intuitive, benutzerfreundliche und klare visuelle Darstellungen von Angriffspfaden?
• Kann das Tool sich flexibel an Ihre Geschäftsanforderungen und eine sich weiterentwickelnde Netzwerkarchitektur anpassen und mitwachsen?
• Lässt es sich nahtlos in vorhandene Sicherheitstools und Workflows integrieren?
• Stellt der Anbieter regelmäßige Updates bereit, um neuen Bedrohungen und Schwachstellen Rechnung zu tragen?

1. Umfangsdefinition und Erfassung: Definieren Sie die Grenzen der Analyse und identifizieren Sie kritische Assets (z. B. IT-Assets, Datenbanken, privilegierte Konten, Domänencontroller), um sich das Layout des Netzwerks vor Augen zu führen. Ihr Ziel besteht darin, potenzielle Angriffsflächen zu ermitteln, z. B. über das Internet zugängliche Dienste, fehlerhaft konfigurierte Cloud-Ressourcen oder andere Sicherheitskontrollen.
2. Aggregieren und Korrelieren von Daten, um Beziehungen zwischen Benutzern, Domänencontrollern, Systemen und Schwachstellen abzubilden. Dadurch werden versteckte Angriffsvektoren aufgedeckt, wie z. B. unsichere Zugangsdaten, die über mehrere Systeme hinweg verwendet werden, oder ungepatchte Schwachstellen, die zu Rechteausweitung führen können.
3. Einsatz von graphenbasierter Modellierung und Visualisierung: Machen Sie sich ein Bild davon, wie sich Angreifer durch Ihre Umgebung bewegen könnten – durch Ausnutzung von Schwachstellen, Rechteausweitung, Lateral Movement oder Fehlkonfigurationen.
4. Priorisieren von Behebungsmaßnahmen: Sind potenzielle Angriffspfade identifiziert, werden sie anhand von Risikofaktoren eingestuft, wie beispielsweise nach Ausnutzbarkeit (Einfachheit des Angriffs), Priorisierung von Knotenpunkten, Auswirkungen (geschäftliche Folgen) und Wahrscheinlichkeit (reale Angriffstechniken aus dem MITRE ATT&CK-Framework). Die kritischsten Pfade wie jene, die zum Zugriff auf Domänenadministratoren oder geschäftskritische Assets führen, sollten die höchste Priorität haben.

Im Rahmen des CTEM-Frameworks bietet APA folgende Möglichkeiten:

• Identifizierung von Sicherheitslücken durch Abbildung potenzieller Angriffspfade
• Hervorhebung der kritischsten Schwachstellen, die zu schwerwiegenden Sicherheitsverletzungen führen könnten, sodass Eindämmungsmaßnamen priorisiert werden können
• Bereitstellung von Erkenntnissen als Informationsgrundlage für proaktive Verteidigungsstrategien, um die allgemeine Sicherheitslage zu stärken und Resilienz zu erhöhen

APA unterstützt reaktive und proaktive Sicherheitsmaßnahmen:

• Reaktive Sicherheit: APA hilft bei der Vorfallreaktion, indem einzelne Angriffsschritte zurückverfolgt werden, der Angriffsverlauf nachvollziehbar ist und kompromittierte Assets identifiziert werden.
• Proaktive Sicherheit: Mithilfe von APA können Teams potenzielle Angriffsvektoren antizipieren und entsprechende Abwehrmaßnahmen implementieren, um einer Ausnutzung zuvorzukommen.

Erfahren Sie mehr darüber, wie Angriffspfad-Analyse mittels Exposure Management-Plattformen wie Tenable One Ihnen helfen können, die Komplexität der modernen Angriffsfläche zu bewältigen. Komplexe Umgebungen der heutigen Zeit, die über klassische Informationstechnologie hinausgehen und Aspekte wie Microservices, Web-Apps, Identitätsdienste, operative Technologie (OT) und vieles mehr umfassen, erfordern einen vielfältigen Satz an Tools zur Bewertung von Schwachstellen. Eine robuste Plattform sollte Sie dabei unterstützen, Bedrohungen vorherzusehen, Prioritäten zu setzen und handlungsfähige Erkenntnisse bereitzustellen.