Analyse des Angriffspfads

Die Angriffspfadanalyse ist ein wichtiges Tool zur Bekämpfung der immer raffinierteren Methoden von Angreifern.

Rapid7 Cloud Risk Complete

Was ist eine Angriffspfadanalyse? 

Bei der Angriffspfadanalyse wird vereinfacht grafisch dargestellt, über welche Wege böswillige Akteure Ihre On-Premise- und Cloud-Umgebungen passieren können. Angreifer können über diese verschiedenen „Pfade“ auf sensible Informationen zugreifen und eine gefährdete Konfiguration oder Ressource für ihre Zwecke ausnutzen. Es fällt nicht schwer, sich die schiere Anzahl der möglichen Angriffswege auf Unternehmensebene vorzustellen.

Indem diese Daten in Form eines Angriffsdiagramms untersucht werden, lässt sich das Risiko leichter in Echtzeit einschätzen und Beziehungen zwischen kompromittierten Ressourcen und deren Auswirkungen auf Ihr erweitertes Netzwerk erkennen. Die meisten Sicherheitsteams scheinen Angriffswege deshalb schnell zu finden und diese verantwortungsvoll zu beheben. Etwa 75 % der Gefährdungen erwiesen sich jedoch als Sackgassen, die von Angreifern nicht ausgenutzt werden konnten.

Sogenannte Choke-Points bezeichnen Orte, an denen potenzielle Angriffspfade zusammenlaufen und die ein zentrales Einfallstor für sensible Daten und Assets darstellen. Aufgrund ihrer kritischen Natur eignen sich Choke-Points auch hervorragend, um anomale Aktivitäten zu identifizieren und einzugrenzen, was genau untersucht werden muss. Von hier aus können Logs zentralisiert und Baseline-Verhaltensweisen festgelegt werden, damit die Teams wissen, was beim Passieren des Choke-Points als normal gilt und was nicht.

Angriffspfad vs. Angriffsvektor vs. Angriffsfläche

Es gibt eine Reihe von Begriffen, die nicht nur ähnlich klingen wie „Angriffspfad“, sondern sich auch in Bezug auf Definition und Funktion überschneiden. Im Folgenden sehen wir uns einige wesentliche Unterschiede zwischen den einzelnen Begriffen an. 

Angriffspfad 

Ein Angriffspfad ist die visuelle Darstellung eines bestimmten Weges, auf dem ein Angreifer auf sensible Daten zugreifen oder den Systemzugriff zur Ausnutzung von Schwachstellen missbrauchen könnte. Der Angriffspfad wird in der Regel durch ein Diagramm dargestellt und kann über Daten, die eine Cloud-Sicherheitslösung aus Konten und zugehörigen Services gewinnt und analysiert, abgerufen werden. Die Lösung sollte dann die Quelle, das Ziel und den Schweregrad eines Angriffspfads kommunizieren können.

Angriffsvektor 

Ein Angriffsvektor ist im Wesentlichen der Prunkt, an dem der Angreifer in ein System eindringt. Von dort aus würde der Angreifer den Angriffspfad zu den gewünschten Informationen oder Ressourcen nehmen. Malware beispielsweise hat drei Hauptvektortypen – Trojaner, Viren und Würmer – die typische Kommunikationen wie E-Mails ausnutzen. Weitere typische Vektoren sind Systemeintrittspunkte wie kompromittierte Anmeldeinformationen, Ransomware, Phishing-Angriffe und die Ausnutzung von Cloud-Fehlkonfigurationen.

Angriffsfläche

Die Angriffsfläche umfasst eine Reihe gefährdeter Angriffsvektoren in einem Netzwerk (sowohl On-Premise als auch in der Cloud), über die sich Angreifer Zugang verschaffen können. Einzelne Angriffsvektoren sorgen für kleinere Sicherheitslücken. Doch durch die Kombination all dieser Einstiegspunkte entsteht eine größere Schwachstelle, die gewöhnliche Netzwerke in dynamische Angriffsflächen verwandeln kann. Die Angriffsfläche weist Vektoren auf, über die sich ein Angreifer seinen Weg zu sensiblen Assets und Daten bahnen kann.

Wie funktioniert eine Angriffspfadanalyse? 

Mit der Angriffspfadanalyse können Sicherheitsteams Echtzeit-Risiken in Cloud-Umgebungen visualisieren. In dem Bestreben, potenziell toxische Kombinationen aufzudecken – die ursprünglich eigens in das Netzwerk integriert wurden, um von Nutzen zu sein –, gewinnen die Teams ein Verständnis für den aktuellen Gesundheitszustand ihres Netzwerks. Sind das Unternehmen und der Betrieb derzeit einem höheren Risiko ausgesetzt, oder zeigt sich, dass die Lage in Wirklichkeit relativ sicher ist?

Als Beispiel für die Vorgehensweise beim Management und der Analyse von Angriffspfaden dient das Konzept des Identity and Access Management (IAM). Ist die Umgebung ohne das vorherige Wissen des Sicherheitsteams tatsächlich anfällig für Kontoübernahmen, die einem Angreifer Tür und Tor öffnen würden?

Zugangsdaten könnten entwendet und ausgenutzt werden, um sich weiteren Zugriff auf Kundendaten oder geistiges Eigentum zu verschaffen. Wird ein IAM-System kompromittiert und Zugangsdaten gestohlen, kann ein Angreifer auf so ziemlich alles Zugriff erlangen. Dabei könnte er folgendermaßen vorgehen:

  • Ein Angreifer hat ein IAM-System kompromittiert und die Zugangsdaten eines Benutzers gestohlen. 
  • Der Angreifer verschafft sich mit diesen Zugangsdaten Zugriff auf eine größere Untergruppe innerhalb eines größeren Sicherheits- oder IT-Unternehmens. 
  • Er kann so auf Unmengen von Zugangsdaten zugreifen, mit denen er laterale Bewegungsmuster und größere Angriffspfade im gesamten Netzwerk aufbauen kann. 
  • Schließlich gelangt er an die eigentliche Beute: die sensiblen Finanzdaten tausender Kunden, die er schnell exfiltriert. 

Um solche Angriffsbewegungen schneller zu erkennen – oder sie zu blockieren, bevor sie überhaupt entstehen können –, müssen Sie unbedingt proaktiv handeln. Folgende Aspekte sind dabei besonders wichtig:

  • Die Untersuchung der Ressourcenverbindungen im Netzwerk und ihrer Beziehungen zueinander. 
  • Die Auswertung des visuellen Diagramms, damit die Mitarbeiter die Ressourcen und damit verbundene Risikofaktoren auf einem potenziellen Angriffspfad einsehen können. 
  • Die Bestimmung der richtigen Schritte zur Durchbrechung der Verbindungen im Angriffspfad durch Änderung der Zugriffskontrollen und Sicherheitskonfigurationen sowie Patching von Schwachstellen. 
  • Die Konfiguration automatischer Benachrichtigungen, mit denen die Eigentümer der betreffenden Ressourcen gewarnt werden und Mitteilungen mit Informationen für technische und nichttechnische Stakeholder erstellt werden können. 

Die Bedeutung der Angriffspfadanalyse 

Die Angriffspfadanalyse ist ein wichtiges Tool zur Bekämpfung der immer raffinierteren Methoden von Angreifern. Durch sie können Sicherheitsorganisationen besser verstehen, dass bestimmte Konfigurationen und Verknüpfungen zwar auf der einen Seite vorteilhaft sind, auf der anderen Seite aber auch Schwachstellen bergen können, die ausgenutzt werden können.

Die Angriffspfadanalyse sollte Bestandteil einer ganzheitlichen Cloud-Sicherheitslösung sein, deren Schwerpunkt auf einer schnellen Zuordnung und Identifizierung von Angriffspfaden liegt. Dadurch wird auch mehr Sichtbarkeit und ein besseres Verständnis dafür geschaffen, wie das Netzwerk bei gleichzeitiger Aufrechterhaltung des Geschäftsbetriebs am besten gesichert werden kann.

Die Priorisierung von Risiken ist ein Resultat aus den oben genannten Aspekten. Sie bietet den Vorteil, dass jederzeit klar ist, wo Analystenarbeit geleistet werden muss, und dass aufkommende Bedrohungen proaktiv abgewehrt werden.

Versetzen Sie sich in die Rolle eines Angreifers 

Der größte Vorteil für Sicherheitsteams besteht darin, dass sie sich dank der Sichtbarkeit, Geschwindigkeit und Risikopriorisierung, die eine Angriffspfadanalyse bietet, besser denn je in Angreifer hineinversetzen können. Da Bedrohungsakteure schnell handeln müssen, wenn sie einem hohen Entdeckungsrisiko ausgesetzt sind, legen sie bereits im Vorfeld bestimmte potenzielle Angriffsschritte fest.

Erst wenn eine Sicherheitsorganisation anfängt, potenzielle Pfade zu identifizieren und proaktiv über die lateralen Bewegungen eines Angreifers auf der Suche nach sensiblen Informationen nachzudenken, lernt sie die Besonderheiten ihres Netzwerks wirklich kennen und weiß, wie sie es am besten vor Bedrohungen schützen kann.

Anwendungsfälle für Angriffspfadanalysen

Sicherheitsteams und insbesondere die nicht-technischen Stakeholder, die sich auf diese Teams verlassen, sollten sich mit den spezifischen Anwendungsfällen der Angriffspfadanalyse vertraut machen und sich darüber informieren, wie sie sie für sich nutzen können.

  • Machen Sie sich klar, wie Angreifer auf sensible Informationen zugreifen: Mit den leicht verständlichen Visualisierungen können Sie sich ein Bild davon machen, wie direkt oder indirekt auf eine Ressource mit sensiblen Daten zugegriffen werden kann. 
  • Minimieren Sie Falschmeldungen und wehren Sie kritische Risiken schneller ab: Verkürzen Sie die Risikopriorisierung und Abwehrzeiten, indem Sie die Quelle eines Angriffs und seinen Pfad durch das System identifizieren und gezielt abwehren. 
  • Priorisieren Sie Gegenmaßnahmen: Sicherheitsteams können potenzielle Angriffspfade visualisieren und Cloud-Risiken und -Bedrohungen nach Prioritäten ordnen. So erhalten Sie einen Überblick darüber, wie sich bösartige Akteure in einer Umgebung ausbreiten und auf sensible Informationen zugreifen könnten.
  • Kommunizieren Sie Risiken für nicht-technische Stakeholder auf einfache Weise: Hier werden die Angriffspfade in einem Diagramm veranschaulicht. So können Sie nicht-technischen Stakeholdern – wie Führungskräften oder Vorstandsmitgliedern – potenzielle Risiken und Auswirkungen eines Cyberangriffs effektiv erläutern.
  • Halten Sie Compliance-Vorschriften ein: Sicherheitsteams und Auditoren können Compliance-Verstöße gegen eine Reihe von Vorschriften erkennen, nachverfolgen und beheben, darunter SOC 2, das strenge Kriterien für die Verwaltung von Kundendaten festlegt, die auf einer Reihe von potenziellen Angriffspfaden liegen.

Erfahren Sie mehr