Attack Path Management: Die Grundlagen

Ein Cyberangriff ist ein böswilliger Versuch eines unbefugten Benutzers, auf Systeme, Netzwerke oder Daten zuzugreifen. Der Bedrohungsakteur könnte versuchen, Daten auszulesen, zu vernichten oder zu modifizieren, und es besteht die Gefahr, dass Systeme und zugehörige Assets gestört werden.

Ein Angriffspfad ist ein Weg, den böswillige Akteure einschlagen können, nachdem sie eine Schwachstelle oder einen Sicherheitsmangel in der Angriffsoberfläche Ihres Unternehmens ausgenutzt haben. Der Angriffspfad ist eine visuelle Darstellung möglicher Wege, die Angreifer nutzen könnten, um ein Asset über einen beliebigen Einstiegspunkt zu kompromittieren. Sobald es Angreifern beispielsweise gelungen ist, in das Netzwerk einzudringen, können sie sich über den Angriffspfad zwischen Assets fortbewegen. Für Ihre Sicherheitsteams ist es wichtig, sich über alle potenziellen Angriffspfade in Ihrem Unternehmen im Klaren zu sein, sodass sie besser darauf vorbereitet sind, Angriffe im Falle einer Sicherheitsverletzung zu stoppen und einen weiteren Vorstoß in Ihr Netzwerk zu verhindern.

Im Rahmen eines Angriffs nutzen Bedrohungsakteure verschiedene Tools und Methoden, um ihre jeweiligen Ziele zu erreichen. Ein Exploit ermöglicht es Angreifern beispielsweise, in einem Netzwerk zunächst Fuß zu fassen und anschließend den Zugriff auf ein Asset aufrechtzuerhalten (Persistenz), Berechtigungen auszuweiten und sich seitwärts zwischen Netzwerkgeräten fortzubewegen (Lateral Movement). Im letzten Schritt versucht der Angreifer dann, sein jeweiliges Ziel zu erreichen, beispielsweise einen Denial-of-Service-Angriff (DoS) auf kritische Infrastruktur durchzuführen, sensible Informationen zu exfiltrieren oder vorhandene Services zu stören. Diese Abfolge wird als Angriffspfad bezeichnet. Ein Angriffspfad beinhaltet mindestens eine Angriffsmethode und ermöglicht es Angreifern, ihre Ziele zu erreichen.

Der Wirkungsradius eines Angriffspfads veranschaulicht die potenziellen lateralen Bewegungen, die ein Angreifer vollziehen könnte, sobald er sich über ein Asset Zugang verschafft hat.

Attack Path Management (APM) bietet Einblicke in Sicherheitsschwächen aus der Perspektive eines Angreifers. Wenn Sie sich über potenzielle Angriffspfade im Klaren sind, können Sie stärkere Abwehrmechanismen einrichten, die es Ihren Teams ermöglichen, diese Angriffspfade schnell zu kappen und Angriffe zu vereiteln, bevor Bedrohungsakteure tiefer in Ihre Systeme und Ihr Netzwerk eindringen können.

Attack Path Management (APM) ist ein Prozess, den Sicherheitsteams einsetzen können, um fortlaufend Schwachstellen, Fehlkonfigurationen und andere Sicherheitsprobleme zu identifizieren, die ein Angreifer ausnutzen könnte, um Zugang zu Ihrem Netzwerk und Ihren Systemen zu erhalten. Wenn Sie Attack Path Management nutzen, ist Ihr Unternehmen besser darauf vorbereitet, alle Cyberrisiken – sowohl On-Prem als auch in der Cloud – proaktiv zu identifizieren, sodass Teams Behebungsmaßnahmen effektiv priorisieren können. APM vermittelt Ihrem Team zudem ein Verständnis davon, ob Ihre Sicherheitskontrollen wie vorgesehen funktionieren und an welchen Stellen Schwachpunkte bestehen. So können Sie auf der Grundlage Ihrer aktuellen Risiken und jeweils notwendigen Behebungsmaßnahmen bessere Geschäftsentscheidungen treffen.

Durch Attack Path Mapping entsteht eine visuelle Roadmap bekannter und verborgener Angriffspfade in Zusammenhang mit Ihren gesamten Assets. Durch die Erstellung einer Karte der Angriffspfade erhalten Ihre Sicherheitsteams ein besseres Verständnis aller denkbaren Szenarien (oder Pfade), die Angreifer nach einem erfolgreichen Übergriff auf ein Asset nutzen könnten. Vereinfacht gesagt, geht es darum, das Gesamtbild zu betrachten und sich zu fragen: Wenn der Angreifer die Aktion X durchführt, was könnte dann passieren und wohin könnte sich der Angreifer als nächstes bewegen?

Jedes Unternehmen weist ganz eigene Angriffspfade auf, doch es gibt auch einige, die häufig auftreten. Beispielsweise kann es Angreifern durch eine Fehlkonfiguration in Active Directory (AD) gelingen, eine Sicherheitslücke zu ihrem Vorteil zu nutzen. Nachdem sie sich Zugriff auf Ihr Active Directory verschafft haben, können sie sich dann seitwärts auf weitere Systeme und Assets vorarbeiten, die mit Ihrem AD verbunden sind.

Attack Path Management (APM) bietet zahlreiche Vorteile. Einer der größten besteht jedoch darin, dass es Ihrem Unternehmen hilft, seine Cyber Exposure zu ermitteln und nachzuvollziehen, wie und wo sich Angreifer durch das Netzwerk fortbewegen könnten. Darüber hinaus liefert APM Kontext und bereitet Ihre Teams so darauf vor, proaktive Maßnahmen zu ergreifen, um Ihre Sicherheitskontrollen zu stärken und effektiv auf Angriffe reagieren zu können. Attack Path Management spielt in ausgereiften Cybersecurity-Programmen eine wichtige Rolle und trägt zur Reduzierung von Risiken bei.

Active Directory ist ein Verzeichnisdienst von Microsoft Windows, der es Ihrem Unternehmen ermöglicht, sämtliche Benutzer, Zugangsdaten, Systeme, Anwendungen und Daten im gesamten Netzwerk effektiv zu verwalten. Häufig wird Active Directory für die Identitäts- und Zugriffsverwaltung eingesetzt, um zu steuern, wer über das Netzwerk auf welche Ressourcen zugreifen darf.

Durch Active Directory-Sicherheit können Sie Sicherheitsmängel in Ihrem Active Directory identifizieren, priorisieren und beheben. Leider wird AD-Sicherheit von vielen Unternehmen häufig außer Acht gelassen. Cyberkriminellen ist dies bewusst, und deshalb behalten sie Active Directory-Angriffe in ihrem Repertoire. Wenn es Angreifern gelingt, sich Zugang zu Ihrem AD zu verschaffen, können sie sich seitwärts durch das Netzwerk fortbewegen („Lateral Movement“), Rechte ausweiten und die Kontrolle über Ihre Domäne übernehmen. Ein durchschnittlicher Angreifer kann in weniger als 20 Minuten vollständige Domänendominanz erlangen. Mit Active Directory-Sicherheit erhalten Sie Einblick in Bereiche, die Angreifer ausnutzen könnten. Dadurch können Sie Angriffspfade proaktiv versperren und in Echtzeit auf Ereignisse reagieren.

Die beiden Begriffe werden häufig synonym verwendet, doch Angriffspfade und Angriffsvektoren sind nicht dasselbe. Ein Angriffsvektor ist das, was ein Angreifer zur Ausnutzung einer Sicherheitsschwäche einsetzen kann. Der Angriffspfad hingegen ist der Weg oder die Wegbeschreibung, denen der Angreifer folgt, nachdem der jeweilige Exploit-Versuch erfolgreich war.

Bei der Angriffspfad-Analyse mit Tenable werden Ihre Daten mit erweiterten Diagrammanalysen und dem MITRE ATT&CK™-Framework zusammengeführt, woraus Ergebnisse (sogenannte Findings) hervorgehen. Anhand dieser Ergebnisse können Sie unbekannte Faktoren, die zu Bedrohungen für Ihre Assets und Daten führen und diese verstärken, nachvollziehen und entsprechende Maßnahmen ergreifen.

Attack Surface Management verschafft Ihnen automatisch und kontinuierlich einen umfassenden Einblick in Ihre Assets. So wissen Sie immer, über welche Assets Sie verfügen, wie sie genutzt werden und wo sie möglicherweise Schwachstellen oder Sicherheitsprobleme aufweisen – aus Anwendersicht wie auch aus Angreiferperspektive. Durch Attack Surface Management sind Ihre Teams in der Lage, Sicherheitsprobleme ausfindig zu machen, Behebungsmaßnahmen zu priorisieren und Angreifern stets einen Schritt voraus zu sein.